Закон об использовании личных данных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция) \ КонсультантПлюс — Независимое театральное объединение "Зрительские симпатии"

Содержание

Положение о защите персональных данных клиентов (абонентов) в ООО «Новотелеком» — Электронный город

1. Термины и определения

1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, адрес электронной почты, телефонный номер, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование.

1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.

1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.8. Обезличивание персональных данных

— действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.

1.11. Клиент (субъект персональных данных)

— физическое лицо потребитель услуг ООО «Новотелеком», далее «Организация».

1.12. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего Положения Оператором признается Общество с ограниченной ответственностью «Новотелеком».

2. Общие положения.

2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом 152-ФЗ «О персональных данных», Федеральным законом «О связи», Правилами оказания услуг связи, утвержденными иными федеральными законами.

2. 2. Цель разработки Положения — определение порядка обработки и защиты персональных данных всех Клиентов Организации, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.3. Порядок ввода в действие и изменения Положения.

2.3.1. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Организации и действует бессрочно, до замены его новым Положением.

2.3.2. Изменения в Положение вносятся на основании Приказов Генерального директора Организации.

3. Состав персональных данных.

3.1. В состав персональных данных Клиентов , в том числе входят:

3. 1.1. Фамилия, имя, отчество.

3.1.2. Год рождения.

3.1.3. Месяц рождения.

3.1.4. Дата рождения.

3.1.5. Место рождения.

3.1.6. Паспортные данные

3.1.7. Адрес электронной почты.

3.1.8. Номер телефона (домашний, сотовый).

3.1.9. Адрес регистрации.

3.1.10. Адрес места жительства.

3.2. В Организации могут создаваться (создаются, собираются) и хранятся следующие документы и сведения, в том числе в электронном виде, содержащие данные о Клиентах:

3.2.1. Заявка на обследование о возможности подключения физического лица.

3.2.2. Договор (публичная оферта).

3.2.3. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых Клиентом, и содержащих персональные данные.

3.2.4. Данные по оплатам заказов (товаров/услуг), содержащие платежные и иные реквизиты Клиента.

4. Цель обработки персональных данных.

4.1. Цель обработки персональных данных — осуществление комплекса действий направленных на достижение цели, в том числе:

4.1.1. Оказание услуг связи в соответствии с заключенным договором.

4.1.2. Абонентское обслуживание.

4.1.3. Иные действия, направленные на улучшение качества оказания услуг, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных действий.

4.1.4. В целях исполнения требований законодательства РФ.

4.2. Условием прекращения обработки персональных данных является ликвидация Организации, а также соответствующее требование Клиента о расторжении договорных отношений. Требование абонента о прекращении обработки персональных данных без расторжения договорных отношений не допускается.

5. Сбор, обработка и защита персональных данных.

5.1. Порядок получения (сбора) персональных данных:

5.1.1. Получение (сбор) персональных данных клиента осуществляется в момент подачи заявления о заключении договора.

5.1.2. В случае отсутствия технической возможности оказания услуг связи и заключения договора, полученные персональные данные подлежат уничтожению.

5.1.3. В случае подписания договора об оказании услуг, Клиент выражает свое согласие на обработку персональных данных, требующихся Организации для исполнения обязательств по договору.

5.1.4. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение срока искововой давности с даты прекращения действия договорных отношений Клиента с Организацией.

5.1.5. Если персональные данные Клиента возможно получить только у третьей стороны, Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные Клиента, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные Клиента о том, что персональные данные передаются с его согласия. Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных Клиентов.

5.1.6. Организация обязана сообщить Клиенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Клиента персональных данных дать письменное согласие на их получение.

5.1.7. Организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

5. 2. Порядок обработки персональных данных:

5.2.1. Субъект персональных данных предоставляет Организации достоверные сведения о себе.

5.2.2. К обработке персональных данных Клиентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Клиента.

5.2.3. Перечень сотрудников Организации, допущенных к обработке персональных данных Клиента, определяется приказом Исполнительного директора компании.

5.2.4. Обработка персональных данных Клиента может осуществляться исключительно в целях установленных Положением и соблюдения законов и иных нормативных правовых актов РФ.

5.2.5. При определении объема и содержания, обрабатываемых персональных данных Организация руководствоваться Конституцией Российской Федерации, законом о персональных данных, законодательством в сфере связи, и иными федеральными законами.

5.3. Защита персональных данных:

5. 3.1. Под защитой персональных данных Клиента понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.

5.3.2. Защита персональных данных Клиента осуществляется за счёт Организации в порядке, установленном федеральным законом РФ, локальными организационно-распорядительными документами.

5.3.3. Организация при защите персональных данных Клиентов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:

Антивирусная защита.
Анализ защищённости.
Обнаружение и предотвращение вторжений.
Управления доступом.
Регистрация и учет.
Обеспечение целостности.
Издание локальных актов, регулирующих защиту персональных данных.

5.3.4. Общую организацию защиты персональных данных Клиентов осуществляет лицо, ответственное за организацию обработки персональных данных Организации.

5.3.5. Доступ к персональным данным Клиента имеют сотрудники Организации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.3.6. Все сотрудники, связанные с получением, обработкой и защитой персональных данных Клиентов, обязаны подписать Соглашение о неразглашении персональных данных Клиентов.

5.3.7. Процедура оформления доступа к персональным данным Клиента включает в себя:

Ознакомление сотрудника под роспись с настоящим Положением, Правилами обработки персональных данных в Организации. При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных Клиента, с данными актами также производится ознакомление под роспись.
Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о соблюдении конфиденциальности персональных данных Клиентов и соблюдении правил их обработки в соответствии с внутренними локальными актами Организации, регулирующих вопросы обеспечения безопасности конфиденциальной информации.
Истребование с сотрудника (за исключением Генерального директора) письменного обязательства о прекращении обработки персональных данных в случае его увольнения с занимаемой должности.

5.3.8. Сотрудник Организации, имеющий доступ к персональным данным Клиентов в связи с исполнением трудовых обязанностей:

Обеспечивает хранение информации, содержащей персональные данные Клиента, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Клиентов.
При уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Клиентов лицу, на которое локальным актом Общества (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора Организации.
При увольнении сотрудника, имеющего доступ к персональным данным Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Клиентов по указанию Генерального директора.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Генерального директора, доступ к персональным данным Клиента может быть предоставлен иному сотруднику. Допуск к персональным данным Клиента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

5.3.9. Начальник отдела кадров обеспечивает:

Ознакомление сотрудников под роспись с настоящим Положением.
Истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных Клиента (Соглашение о неразглашении) и соблюдении правил их обработки.
Истребование с сотрудников письменного обязательства о прекращении обработки персональных данных, в случае их увольнения с занимаемой должности.
Общий контроль за соблюдением сотрудниками мер по защите персональных данных Клиента.

5.3.10. Защита персональных данных Клиентов, хранящихся в электронных базах данных Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается техническими службами Организации.

5.4. Хранение персональных данных:

5.4.1. Персональные данные Клиентов на бумажных носителях хранятся в помещениях, определенным Приказами Исполнительного директора Организации.

5.4.2. Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Организации, в электронных папках и файлах в персональных компьютерах сотрудников, допущенных к обработке персональных данных Клиентов, в Информационных системах и электронных базах данных Организации.

5.4.3. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:

Разграничением прав доступа с использованием учетной записи.
Двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются технической службой Организации и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.

5.4.4. Несанкционированный вход в ПК, в которых содержатся персональные данные Клиентов, блокируется паролем, который устанавливается технической службой Организации и не подлежит разглашению.

5.4.5. Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях.

5.4.6. Ответы на письменные запросы других организаций и учреждений о персональных данных Клиентов даются только с письменного согласия самого Клиента, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Организации, и в том объеме, который позволяет не разглашать излишний объем персональных данных Клиента.

6. Блокировка, обезличивание, уничтожение персональных данных

6. 1. Порядок блокировки и разблокировки персональных данных:

6.1.1. Блокировка персональных данных Клиентов осуществляется с письменного заявления Клиента.

6.1.2. Блокировка персональных данных подразумевает:

6.1.2.1. Запрет редактирования персональных данных.

6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).

6.1.2.3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).

6.1.2.4. Изъятие бумажных документов, относящихся к Клиенту и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.

6.1.3. Блокировка персональных данных Клиента может быть временно снята, если это требуется для соблюдения законодательства РФ.

6.1.4. Разблокировка персональных данных Клиента осуществляется с его письменного согласия (при наличии необходимости получения согласия) или заявления Клиента.

6.1.5. Повторное согласие Клиента на обработку его персональных данных (при необходимости его получения) влечет разблокирование его персональных данных.

6.2. Порядок обезличивания и уничтожения персональных данных:

6.2.1. Порядок обезличивания персональных данных определяется правилами работы с обезличенными персональными данными, утвержденными Приказом исполнительного директора.

6.2.2. Принципы обезличивания персональных данных Клиентов в информационных системах Организации устанавливаются правилами работы с обезличенными персональными данными, утвержденными Приказом исполнительного директора.

6.2.3. Персональные данные на бумажных носителях подлежат уничтожению.

6.2.4. При проведения испытаний информационных систем Организации персональные данные клиентов подлежат обезличиванию.

6.2.5. Организация обязана обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.

6.2.6. Уничтожение персональных данных Клиента подразумевает прекращение какого-либо доступа к персональным данным Клиента.

6.2.7. При уничтожении персональных данных Клиента работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.

6.2.8. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.

6.2.9. Операция уничтожения персональных данных необратима.

6.2.10. Срок, после которого возможна операция уничтожения персональных данных Клиента, определяется окончанием срока, указанным в пункте 7.3 настоящего Положения.

7. Передача и хранение персональных данных

7.1. Передача персональных данных:

7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.

7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:

7.1.2.1. Не сообщать персональные данные Клиента в коммерческих целях.

7.1.2.2. Не сообщать персональные данные Клиента третьей стороне без письменного согласия Клиента, за исключением случаев, установленных федеральным законом РФ.

7.1.2.3. Предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

7.1.2.4. Разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиентов, которые необходимы для выполнения конкретных функций.

7.1.2.5. Осуществлять передачу персональных данных Клиента в пределах Организации в соответствии с настоящим Положением, нормативно-технологической документацией и должностными инструкциями.

7.1.2.6. Предоставлять доступ Клиента к своим персональным данным при обращении либо при получении запроса Клиента. Организация обязана сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

7.1.2.7. Передавать персональные данные Клиента представителям Клиента в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

7.2. Хранение и использование персональных данных:

7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.

7.2.2. Персональные данные Клиентов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации. Персональные данные Клиентов также хранятся в электронном виде: в локальной компьютерной сети Организации, в электронных папках и файлах, информационных системах.

7.2.3. Хранение персональных данных Клиента может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами РФ.

7.3. Сроки хранения персональных данных:

7.3.1. Сроки хранения гражданско-правовых договоров, содержащих персональные данные Клиентов, а также сопутствующих их заключению, исполнению документов соответствует сроку исковой давности, установленному гражданским законодательством РФ.

7.3.2. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.

7.3.3. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе в порядке установленном в Положении и действующем законодательстве РФ.

8. Права оператора персональных данных

Организация вправе:

8.1. Отстаивать свои интересы в суде.

8.2. Предоставлять персональные данные Клиентов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).

8.3. Отказать в предоставлении персональных данных в случаях, предусмотренных законом.

8.4. Использовать персональные данные Клиента без его согласия, в случаях предусмотренных законодательством РФ.

9. Права Клиента

Клиент имеет право:

9.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

9.2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.

9.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.

9.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Организации.

Является ли изображение человека его персональными данными, и нужно ли получать разрешение на сбор таких данных?

Очень часто обвинения в нарушении закона о ПД предъявляются людьми, не понимающими его смысла и сферы действия. Закон «О персональных данных» регулирует правоотношения, связанные с обработкой информации, которая совершается либо с использованием «средств автоматизации», либо без их использования, в том случае, если такая обработка «соответствует характеру действия, совершаемых с использованием средств автоматизации». Под такими «средствами» в законе понимаются технологии, позволяющие осуществлять поиск персональных данных, содержащихся в каких-либо систематизированных собраниях таких данных, а также доступ к ним.
Предыдущая редакция закона была менее конкретной и не содержала разъяснения того, что считается «средствами автоматизации». Расшифровка этого понятия содержалась только в одном из постановлений Правительства: под «автоматизацией» понимались действия, осуществляемые без участия человека. То есть, закон регулирует только массовую автоматизированную обработку данных, как правило, с использованием компьютерной техники. Для того, чтобы обработка с участием человека попала под регулирование закона, нужно, чтобы она включала в себя операции, которые обычно автоматизируются. Как минимум — это должен быть список, состоящий из «персональных данных», а не единичное упоминание кого-либо.
К сожалению, в законе о ПД его действие связано с «автоматизированной обработкой» только в самой первой статье, в остальном тексте используется только термин «персональные данные», что позволяет написанного в первой статье «не замечать» и распространять действие закона именно на единичные упоминания. Свою роль в этом сыграли безграмотные «разъяснения закона» от Роскомнадзора, службы, которая обязана следить за исполнением законодательства о персональных данных. Для того, чтобы в этом убедиться, достаточно почитать Конвенцию о защите физических лиц при автоматизированной обработке персональных данных, во исполнение которой и принят отечественный закон о ПД. В тексте в подавляющем большинстве случаев используется словосочетание «автоматизированная обработка персональных данных», а сами ПД отдельно упоминаются очень редко.
Сразу после выхода закона он стал объектом пристального внимания прессы и общественности и подвергался неверным толкованиям. В результате у многих сложилось впечатление, будто на основании закона можно запретить вообще любое несанкционированное упоминание конкретного человека.
Ситуацию усугубили выступления в СМИ работников разного рода компаний, продающих «сертифицированные средства защиты информации», которые по закону требуются для работы с персональными данными. В своих интервью они, как правило, причисляют персональные данные к «конфиденциальной информации» или «тайне частной жизни», что неверно: большая их часть общедоступна и не является тайной.
Кроме того, во время очередного внесения изменений в закон было добавлено определение «автоматизированной обработки», под которой теперь понимается любая «обработка с помощью средств вычислительной техники». Такое определение противоречит тексту и смыслу Конвенции.
На самом деле, законом о ПД регулируется только обработка данных в картотеках, каталогах, и других массовых хранилищах. Если речь идет о съемке, то закон распространяется на системы автоматической фото- и видеофиксации, например, камеры, установленные на дорогах для выявления нарушений. В том случае, если фотограф или оператор сам осуществляет съемку, закон о ПД на него не распространяется вообще, до тех пор, пока он не начинает накапливать и систематизировать изображения людей. В первой статье закона о ПД говорится также, что не применяется он и в случаях обработки данных для личных и семейных нужд.
«Персональные данные» внесены в Перечень сведений конфиденциального характера, утвержденный в 1997 году, причем в Перечне под ними понимаются только сведения о частной жизни лица, позволяющие его идентифицировать. Определение из закона «О персональных данных» шире, оно включает вообще любые идентифицирующие данные. Ссылка на Перечень часто используется для обоснования «конфиденциальности» любых персональных данных вообще (такими подменами обычно занимаются как раз продавцы «сертифицированных средств защиты»).
Еще один спорный вопрос — является ли изображение гражданина его «биометрическими персональными данными» и нужно ли при обработке таких изображений соблюдать дополнительные требования по их защите. В одном из разъяснений Роскомнадзора [rkn.gov.ru/news/rsoc/news21529.htm] ответ на этот вопрос ставится в зависимость от того, используется ли изображение для установления личности. В соответствии с разъяснением, фотографии, содержащиеся в различных системах контроля доступа относятся к «биометрическим персональным данным», а обычные фотографии, собираемые без проведения процедур идентификации (например, содержащиеся в скан-копиях паспортов, собираемых при заключении различных договоров), будут обычными персональными данными.

Распространение персональных данных: новые правила

В 2021 году в России серьезно ужесточились правила обработки персональных данных. Теперь операторы должны получать отдельное специальное согласие на распространение ПД. Параллельно с этим серьезно выросли штрафы за нарушение законодательства в области персональных данных. Старший юрист Центра защиты прав СМИ Светлана Кузеванова в наших новых рекомендациях объясняет, кого коснутся изменения, каким должно быть согласие и всегда ли нужно его получать.

1. ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИХ ОБРАБОТКА?

Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека, важны скорее не сами данные, а их совокупность.

Обработка персональных данных — это любое действие или операция, которые совершается с персональными данными. Например, к обработке относят, в том числе, сбор, запись, систематизацию, накопление, хранение, распространение или уничтожение персональных данных.

2. ЧТО БЫЛО РАНЬШЕ?

С 2006 года в России действует Федеральный Закон «О персональных данных». Согласно ему сбор, хранение и иная обработка персональных данных могут осуществляться только с согласия человека, которому эти персональные данные принадлежат. Это согласие можно получить в письменной или любой другой форме, позволяющей подтвердить факт его получения. Например, вполне подходит кнопка на сайте «Я даю согласие на обработку своих персональных данных».

3. ЧТО ИЗМЕНИЛОСЬ?

В конце 2020 года в Закон «О персональных данных» были внесены изменения — появилась новая статья 10.1 «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения». Она начала действовать с марта 2021 года.

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Если раньше нужно было брать только одно согласие на обработку (которая включала в себя и распространение) персональных данных, то теперь для их распространения нужно еще одно — специальное (в нем должны быть данные, перечень которых утвержден Роскомнадзором, об этом читайте ниже).

Получается, что до вступления в силу этих изменений было достаточно, если на сайте, опубликована политика конфиденциальности и есть кнопка, при нажатии которой человек дает согласие на обработку персональных данных, теперь же, в случае, если вы после планируете распространять эти данные, то такой кнопки уже недостаточно и человек должен дать отдельное согласие.

4. КОГО КОСНУТСЯ НОВЫЕ ПРАВИЛА?

Дополнительное согласие нужно брать только в том случае, если вы распространяете собранные персональные данные для неопределенного круга лиц. Поэтому изменения коснутся всех, кто это делает. Например:

Компании, на сайтах которых есть раздел “Сотрудники”.
Сайты, на которых создаются профайлы пользователей, блогеров, экспертов и т.д.
Ресурсы для аренды жилья, на которых можно посмотреть информацию о съёмщике или арендаторе, и им подобные.
Сервисы, на которых публикуется информация о специалистах в разных областях и отзывы на них, и так далее.

Во всех этих случаях теперь для распространения персональных данных людей нужно их согласие. Если человек не дал его, то вы не имеете права их распространять.

Если же вы только собираете персональные данные, или же собираете и распространяйте их в обезличенном виде, например, в форме статистики, то изменения вас не коснутся.

5. ТАК ЧТО ЗА СОГЛАСИЕ? КАКИМ ОНО ДОЛЖНО БЫТЬ?

1 сентября начал действовать Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Согласно документу согласие должно содержать:

ФИО субъекта персональных данных.
Его контактную информацию (номер телефона, почтовый адрес или адрес электронной почты).
Сведения об операторе персональных данных:
— для организации: наименование, адрес, указанный в ЕГРЮЛ, ИНН, основной государственный регистрационный номер;
— для гражданина: ФИО, место жительства или место пребывания;
— для ИП: ФИО, ИНН, основной государственный регистрационный номер.
Сведения об информационных ресурсах оператора, где будут распространяться персональные данные.
Цель обработки персональных данных.
Категории и перечень персональных данных, на обработку которых человек дает согласие.
Категории и перечень персональных данных, для обработки которых человек устанавливает запреты и условия, а также перечень этих запретов и условий (заполняется по желанию субъекта ПД)
Условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации только для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта ПД).
Срок действия согласия.

Это согласие может быть дано непосредственно оператору или через информационную систему Роскомнадзора. Оно обязательно должно быть активным — согласно пункту 8 статьи 10.1

«молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения»ю

Важно:получив согласие на обработку персональных данных человека, оператор обязан в течение трех дней опубликовать информацию об «условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения». То есть фактически он должен проинформировать всех, на каких условиях он получил разрешение.

6. СОГЛАСИЕ МОЖНО ОТОЗВАТЬ?

Человек можете отозвать свое разрешение на обработку персональных данных и потребовать прекратить их распространение. Для этого человек должен направить требование оператору. В нем должны быть указаны:

ФИО субъекта персональных данных;
контактная информация;
перечень персональных данных, обработка которых подлежит прекращению.

В этом случае действие согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в момент получения оператором требования от человека.

Кроме того, человек может обратиться с требованием прекратить распространение его персональных данных, на которое он ранее дал разрешение, к любому лицу, обрабатывающему его персональные данные с нарушением закона. В этом случае распространение должно быть прекращено в течение трех дней. Также человек, чьи персональные данные, разрешенные ранее для распространения, обрабатываются с нарушениями, может подать иск в суд.

7. ЕСТЬ СЛУЧАИ-ИСКЛЮЧЕНИЯ, КОГДА МОЖНО РАСПРОСТРАНЯТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ БЕЗ СОГЛАСИЯ?

Да. Все описанное не относится к случаям, когда персональные данные обрабатываются органами власти в целях выполнения возложенных на них законом функций, полномочий и обязанностей. Кроме того, в самой статье 10.1 есть еще одно исключение:

«Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации».

Получается, что если субъект персональных данных запретил распространять информацию о нем, вы все равно можете это делать, если есть, например, общественный интерес.

8. КАК ЭТО ВСЕ КАСАЕТСЯ СМИ?

С точки зрения распространения информации именно в публикациях СМИ, то будем надеяться, что почти никак: в Законе «О персональных данных» есть общий список исключений, которые позволяют обрабатывать персональные данные без согласия субъекта. Все они прописаны в статье 6. Из них к деятельности СМИ применимы лишь некоторые. Например, обрабатывать (в том числе и распространять) персональные данные человека без его согласия можно, если:

обработка персональных данных необходима для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Под последним исключением имеются в виду ситуации, когда персональные уже опубликованы по требованию закона. Например, сюда относят декларации госслужащих, данные из открытых реестров, персональные сотрудников на сайте органов власти и т. д. Это все случаи, когда закон требует раскрывать информацию о людях.

Но помните, что в отдельных случаях редакциям все-таки придется брать дополнительные согласия, ведь не все деятельность редакций укладывается в исключения. Так, дополнительное согласие на распространение персональных данных нужно будет, если, например, редакция публикует списки победителей конкурса или данные о сотрудниках редакции на своем сайте.

9. А ЕСЛИ ЧЕЛОВЕК САМ ОПУБЛИКОВАЛ СВОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?

До вступления в силу изменений в закон, действительно, обрабатывать персональные данные можно было без согласия человека, если он сам их сделал общедоступными, например, опубликовал в социальных сетях. Однако теперь это исключение действовать перестало. Более того, в статье 10.1 отдельным пунктом прописано, что в случае, если человек сам раскрыл неопределенному количеству лиц свои персональные данные, но не дал согласие оператору на их распространение, то доказать законность использования персональных данных должен каждый, кто их распространит без разрешения.

10. ОТВЕТСТВЕННОСТЬ

За нарушение этих правил предусмотрена ответственность по статье 13.11 Кодекса об административных правонарушениях — «Нарушение законодательства Российской Федерации в области персональных данных».

Источник: Центр защиты прав СМИ

Закон о персональных данных – что изменится 15 ноября 2021 года?

Главная
Право
Новости законодательства
Новый закон о персональных данных в Беларуси: — что нужно знать предпринимателю

Новости законодательства

02.10.2021 5 мин на чтение мин

Распечатать с изображениями Распечатать без изображений

Фото: rawpixel

Регулирование персональных данных в Беларуси носит точечный характер. К таким данным относятся, например, ФИО, дата и место рождения, образование, род занятий, реквизиты документов, а также иные данные, позволяющие идентифицировать лицо.
Однако ситуация значительно изменится 15 ноября 2021 года со вступлением в силу Закона Республики Беларусь «О защите персональных данных»: согласно этому закону, к персональным данным будет относиться любая информация, с помощью которой можно прямо или косвенно идентифицировать физическое лицо.
О тонкостях нововведений нам рассказала эксперт юридической компании Arzinger Law Offices Анна Цыганкова.

– Каким образом новшества затронут предпринимателей?
– Взаимодействуя со своими заказчиками, предприниматель может осуществлять обработку персональных данных, т.е. выступать в качестве оператора персональных данных. Под обработкой понимаются любые действия, совершаемые с персональными данными: использование электронных адресов для новостной рассылки, ведение клиентской базы с данными клиентов и так далее. В этом случае предприниматель берет на себя определенную ответственность в отношении использования, хранения и защиты этих данных.
Отдельно стоит отметить, что государственные секреты, а также обработка персональных данных исключительно для личного и подобного использования (не связанного с профессиональной или предпринимательской деятельностью) не подпадает под регулирование нового закона.

– Так что же станет обязательным с его вступлением в силу?
– Обязанности можно условно разделить на три шага.
Первый: анализ уже имеющихся обрабатываемых персональных данных. На этом этапе необходимо составить список данных, цели их обработки и определить, кто имеет доступ к персональным данным, а также разработать внутренние политики обработки персональных данных, реагирования на утечку информации и иные локальные акты для защиты персональных данных. Для ИП следует в обязательном порядке ознакомить своих работников с изданными локальными актами по защите персональных данных.
Второй: получение согласия субъекта персональных данных и непосредственно сбор персональных данных. Новый закон устанавливает, что согласие может быть получено в письменной форме, в виде электронного документа (т.е. с использованием электронной цифровой подписи) или в иной электронной форме, а также определяет случаи, когда обработка персональных данных разрешена без предварительного согласия.
И третий шаг: обеспечение защиты персональных данных. ИП, самозанятые, ремесленники обязаны осуществлять техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь. Для ИП имеется ряд дополнительных обязательных мер. Например, среди прочего ИП должен разработать документы, определяющие политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к таким документам, в том числе с использованием интернета.

– Какая ответственность предусмотрена за нарушение нового закона о персональных данных?
– Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа, по общему правилу, в размере до 50 базовых величин. А если такие деяния совершены лицом, которому персональные данные известны в связи с его профессиональной деятельностью, то размер штрафа составляет до 100 базовых величин.
Также, например, для ИП предусмотрен штраф в размере от 10 до 25 базовых величин за несоблюдение мер обеспечения защиты персональных данных.

– Может ли предприниматель отказать в оказании услуг/продаже товара, если клиент не дает свое согласие на обработку персональных данных?
– В этом случае важно понять, для какой цели собираются персональные данные. Если цель обработки не связана с оказанием услуг или продажей товара, то права отказать в оказании услуг/продаже товаров у предпринимателя нет.

ВНИМАНИЮ ЧИТАТЕЛЕЙ «ЭГ»:

12 октября при содействии IFC состоится бесплатный вебинар «Персональные данные: зачем о них думать бизнесу», в ходе которого будут рассмотрены актуальные вопросы соблюдения законодательства о персональных данных, технической защиты информации, трансграничной передачи данных и многие другие.

Зарегистрироваться на мероприятие можно здесь.

Закон № 99-З защита персональных данных
Распечатать с изображениями Распечатать без изображений

Лучшие статьи раздела

Новости законодательства 22.07.2022 Право определять арендную плату в валюте «замораживают» на полтора года Это следует из ст. 4 Закона от 18.07.2022 № 197-З «Об изменении законов по вопросам рынка ценных бумаг».
Общие вопросы 30.08.2022 Новым указом изменены нормы, касающиеся НДС, земельного налога, расширен перечень функций ФСЗН Откорректированы нормы некоторых указов и других НПА, а также урегулированы иные вопросы, связанные с изменением с 1 января 2022 г. положений НК. Принят Указ от 24.08.2022 № 298 «О налогообложении» (далее – Указ). Остановимся на новациях подробнее.
Новости законодательства 01.09.2022 Обзор законодательства, вступающего в силу в сентябре 2022 года С 1 сентября 2022 г. вступает в силу новая редакция Указа от 27.03.2008 № 178 «О порядке исполнения внешнеторговых договоров», в соответствии с которой изменяется порядок представления статистической декларации.
Юридическим лицам 19.07.2022 Как будут оценивать хозоперации при применении статьи 33 НК Правительство определило критерии оценки хозяйственных операций при доначислении налогов на основании п. 4 ст. 33 НК.
Новости законодательства 26.07.2022 НОВОСТИ ЗАКОНОДАТЕЛЬСТВА (18.07.2022 – 22.07.2022)

Новые статьи на сайте

Итоги 19. 09.2022 ВВП за 8 месяцев снизился на 4,9% Национальный статистический комитет произвел первую оценку валового внутреннего продукта за январь – август 2022.
Проекты НПА 19.09.2022 На очередной сессии Палаты представителей планируют рассмотреть проект закона об амнистии В Палату представителей уже поступил законопроект о гражданстве, ожидается проект закона об амнистии. Такая информация прозвучала 19 сентября 2022 года на заседании Совета Палаты представителей.
Проекты НПА 19.09.2022 Очередная сессия Палаты представителей откроется 20 сентября На первом заседании девятой сессии Палаты представителей седьмого созыва, которая начнет работу 20 сентября, депутаты планируют рассмотреть 13 вопросов. В этот перечень включены законопроекты о внесении изменений в Трудовой и Налоговый кодексы, поправки в ряд законов, а также ратификация трех международных соглашений.
Строительство 19.09.2022 Объекты строительства: порядок приемки скорректирован с ранее принятым указом Внесены изменения в Положение о порядке приемки в эксплуатацию объектов строительства, утв. постановлением Совмина от 06.06.2011 № 716.
Исследования 19.09.2022 Почти 95% офисных сотрудников в Беларуси испытывают стресс на работе В Беларуси 94,5% офисных сотрудников испытывают стресс на работе, вместе с тем, 80,3% в целом довольны своей работой и условиями труда. Такие данные предоставило «ЭГ» бенчмаркинговое агентство ICRA.

Политика конфиденциальности — Neuro.net
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «Нейро» (далее – Оператор).
1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта neuro.net.

2. Основные понятия, используемые в Политике
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://neuro.net.
2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.7. Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://neuro.net.
2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.10. Пользователь – любой посетитель веб-сайта https://neuro.net.
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Основные права и обязанности Оператора
3.1. Оператор имеет право:
– получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
– в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
3.2. Оператор обязан:
– предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
– организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ;
– отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса;
– публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных;
– принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;
– исполнять иные обязанности, предусмотренные Законом о персональных данных.

4. Основные права и обязанности субъектов персональных данных
4.1. Субъекты персональных данных имеют право:
– получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
– на отзыв согласия на обработку персональных данных;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
– на осуществление иных прав, предусмотренных законодательством РФ.
4.2. Субъекты персональных данных обязаны:
– предоставлять Оператору достоверные данные о себе;
– сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.
4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

5. Оператор может обрабатывать следующие персональные данные Пользователя
5.1. Фамилия, имя, отчество.
5.2. Электронный адрес.
5.3. Номера телефонов.
5.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
5.5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
5.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
5.7. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Закона о персональных данных, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 Закона о персональных данных.
5.8. Согласие Пользователя на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Закона о персональных данных. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.8.1 Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.
5.8.2 Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.
5.8.3 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
5.8.4 Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 5.8.3 настоящей Политики в отношении обработки персональных данных.

6. Принципы обработки персональных данных
6.1. Обработка персональных данных осуществляется на законной и справедливой основе.
6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
6.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Цели обработки персональных данных
7.1. Цель обработки персональных данных Пользователя:
– информирование Пользователя посредством отправки электронных писем и сообщений;
– уточнение деталей для начала и продолжения сотрудничества;
– заключение, исполнение и прекращение гражданско-правовых договоров;
– предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://neuro.net.
7.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
7.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

8. Правовые основания обработки персональных данных
8.1. Правовыми основаниями обработки персональных данных Оператором являются:
– Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ, ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки персональных данных, права, обязанности и ответственность участников отношений, связанных с обработкой персональных данных;
— Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». ;
– иные федеральные законы и нормативно-правовые акты в сфере защиты персональных данных;
– согласия Пользователей на обработку их персональных данных, на обработку персональных данных, разрешенных для распространения.
8.2. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://neuro.net или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
8.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
8.4. Субъект персональных данных самостоятельно принимает решение о предоставлении его персональных данных и дает согласие свободно, своей волей и в своем интересе.

9. Условия обработки персональных данных
9.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
9.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
9.3. Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
9.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
9.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
9.6. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – общедоступные персональные данные).
9.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

10. Порядок сбора, хранения, передачи и других видов обработки персональных данных
Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
10. 1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
10.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
10.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».
10.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора privacy@neuro. net с пометкой «Отзыв согласия на обработку персональных данных».
10.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект персональных данных и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
10.6. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
10.7. Оператор при обработке персональных данных обеспечивает конфиденциальность персональных данных.
10.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.9. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

11. Перечень действий, производимых Оператором с полученными персональными данными
11.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
11.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

12. Трансграничная передача персональных данных
12.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
12.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

13. Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

14. Заключительные положения
14.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты [email protected].
14.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.
14.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу neuro.net/ru/policy.
Федеральный закон РФ №152 «О защите персональных данных»
Глава 1. Общие положения
Статья 1.
Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 2.
Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3.
Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4.
Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.
Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5.
Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6.
Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7.
Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8.
Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9.
Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10.
Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11.
Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12.
Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13.
Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. Права субъекта персональных данных
Статья 14.
Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15.
Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16.
Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17.
Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18.
Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19.
Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20.
Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21.
Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22.
Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23.
Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24.
Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. Заключительные положения
Статья 25.
Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент РФ
В. Путин
Законы США о конфиденциальности: полное руководство
Блог о внутренней безопасности / Конфиденциальность и соответствие
В Соединенных Штатах действует лоскутная и постоянно меняющаяся сеть законов, регулирующих конфиденциальность данных. Хотя всеобъемлющего федерального указа о конфиденциальности не существует, несколько законов сосредоточены на конкретных типах данных или ситуациях, касающихся конфиденциальности.
Однако без целостного статута может быть неясно, какие меры защиты предусмотрены для различных типов личной информации и в каких компаниях. Несмотря на отсутствие комплексной системы обеспечения конфиденциальности, организации, которые обрабатывают или хранят данные, по-прежнему несут ответственность за своевременное обновление последних нормативных актов для обеспечения соблюдения требований.
В этом руководстве содержится подробная информация об основных законах США о конфиденциальности, а также о некоторых последних обновлениях и изменениях. Вы также можете загрузить этот подробный информационный бюллетень, чтобы быстро ознакомиться с законами США о защите данных.
Получите бесплатное базовое руководство по соблюдению и законодательству США по защите данных
Конфиденциальность и безопасность в Интернете: как это обеспечивается?
Законы США о конфиденциальности с вертикальной направленностью
Новые законы штата США о конфиденциальности данных
Какие требования конфиденциальности применяются ко мне?
Часто задаваемые вопросы о конфиденциальности данных
Конфиденциальность и безопасность в Интернете: как это обеспечивается?
В отличие от других форм связи, таких как физическая почта, конфиденциальность и безопасность в Интернете сложнее контролировать. Это может сделать людей уязвимыми для вторжения в частную жизнь.
Интернет-безопасность и вводящая в заблуждение реклама: как они связаны?
Интернет произвел революцию в нашей жизни и работе, предоставив беспрецедентный доступ к информации и общению. Однако наряду с этим расширением возможностей подключения возникают новые риски для конфиденциальности. Жизнь каждого теперь находится в сети, оставляя за собой цифровой след личных данных, которым могут воспользоваться недобросовестные компании или отдельные лица.
К счастью, законы о конфиденциальности данных регулируют сбор, использование и раскрытие персональных данных и устанавливают стандарты того, как предприятия должны обращаться с конфиденциальными данными. Федеральная торговая комиссия (FTC) является основным исполнителем этих законов в США. В последние годы FTC предприняла несколько принудительных мер против компаний, которые вводили потребителей в заблуждение относительно их методов обеспечения безопасности и конфиденциальности данных.
Например, в 2012 году Федеральная торговая комиссия (FTC) пришла к соглашению с Google после того, как обвинила компанию в искажении своей политики конфиденциальности пользователями своего сервиса. В соответствии с условиями оплаты Google согласилась выплатить штраф в размере 22,5 млн долларов и изменить свои методы обеспечения конфиденциальности. Совсем недавно, в 2018 году, Федеральная торговая комиссия приняла меры против Facebook за обман пользователей относительно их способности контролировать видимость их личной информации. Опять же, по соглашению с FTC, Facebook согласился выплатить штраф в размере 5 миллиардов долларов и внести существенные изменения в свои меры конфиденциальности.
Эти случаи показывают, что Федеральная торговая комиссия готова принять жесткие меры в отношении компаний, которые нарушают законы о конфиденциальности потребителей. Эти примеры также создают важный прецедент для будущих судебных исков о конфиденциальности в Интернете — поскольку жизнь людей продолжает перемещаться в онлайн, должны быть приняты строгие законы для защиты данных от эксплуатации.
GDPR и CCPA: как сравниваются законы о конфиденциальности США и ЕС?
GDPR и CCPA: чем они отличаются?
GDPR:
Широкий охват: Применяется ко всем организациям по всему миру, которые обрабатывают или отслеживают данные граждан ЕС
Последовательное правоприменение: Взимание крупных штрафов с компаний-нарушителей
Отсутствие надзора: Не требует назначения сотрудника для надзора за исполнением
CCPA:
Узкий охват: Применяется только к организациям, ведущим бизнес в Калифорнии
Непоследовательное правоприменение: Наделяет жителей правоприменением через судебные процессы против компаний-нарушителей
Специальный надзор: Требуется назначение сотрудника по защите данных для контроля за соблюдением требований
США и Европа имеют самые полные законы о безопасности данных и конфиденциальности; Общий регламент ЕС по защите данных (GDPR) вступил в силу в 2018 г. , а Калифорнийский закон о конфиденциальности потребителей (CCPA) вступил в силу в 2020 г.
GDPR и CCPA устанавливают строгие стандарты в отношении того, как поставщики услуг должны обрабатывать персональные данные, в том числе обеспечивать прозрачность и безопасность сбора данных и получать их с согласия заинтересованного лица. Стандарты также предоставляют людям право знать, какие личные данные о них собираются, и позволяют им получить к ним доступ и запросить их удаление.
Основное различие между CCPA и GDPR заключается в том, что GDPR применяется к любой организации, которая обрабатывает или намеревается обрабатывать конфиденциальные данные граждан ЕС, независимо от ее местонахождения. Соблюдение GDPR обязательно для любой организации, которая обрабатывает персональные данные граждан ЕС, независимо от того, являются они клиентами или нет. Для GDPR также нет требований к доходам или пороговым значениям обработки.
CCPA распространяется только на организации, ведущие бизнес в Калифорнии. Это правило применяется к организациям, удовлетворяющим пороговым значениям, таким как годовой доход выше 25 миллионов долларов США, к любой организации, которая обрабатывает персональные данные более 50 000 человек, и к организациям, которые получают 50 процентов своего дохода от продажи данных.
Эти требования означают, что GDPR имеет гораздо более широкий охват и защиту, чем CCPA. Например, с точки зрения правоприменения GDPR предусматривает крупные штрафы для поставщиков услуг, нарушающих его положения. Напротив, CCPA предлагает жителям Калифорнии право предъявлять иски предприятиям о возмещении ущерба в случае нарушения их прав потребителей.
Наконец, GDPR требует от компаний назначать сотрудника по защите данных, в то время как CCPA не требует такого требования. В то время как GDPR и CCPA являются строгими законами о защите данных, предоставляющими людям надежные права и защиту, применимость GDPR выходит за пределы США, что делает его одной из самых масштабных структур защиты данных на сегодняшний день.
Для организаций крайне важно проконсультироваться с юрисконсультом и тщательно изучить, какие законы применяются к ним, обеспечивая соблюдение каждого применимого требования.
Законы США о конфиденциальности с вертикальной направленностью
Вообще говоря, законы о конфиденциальности делятся на две категории: вертикальные и горизонтальные. Вертикальные законы о конфиденциальности защищают медицинские записи или финансовые данные, включая такие сведения, как здоровье и финансовое положение человека.
Законы о горизонтальной конфиденциальности сосредоточены на том, как организации используют информацию, независимо от ее контекста. Типы данных, на которые распространяются эти законы, включают отпечатки пальцев, сканирование сетчатки глаза, биометрические данные и другую личную информацию, такую как имена и адреса.
Хронология закона США о конфиденциальности данных
1974
Закон США о конфиденциальности от 1974 г.
Права и ограничения в отношении данных, хранящихся в государственных органах
1999
Закон Грэмма-Лича-Блайли (GLBA)
Защищает непубличную финансовую личную информацию (NPI)
2000
Закон о защите конфиденциальности детей в Интернете (COPPA)
Защищает личную информацию лиц в возрасте 12 лет и младше
Хотя как вертикальные, так и горизонтальные законы о конфиденциальности играют важную роль в защите прав людей на неприкосновенность частной жизни, многие считают вертикальные политики более эффективными, поскольку они лучше нацелены на конкретные риски.
Закон США о конфиденциальности от 1974 г.
Федеральное правительство приняло Закон США о конфиденциальности 1974 г., чтобы усилить защиту частной жизни. Этот закон установил правила и положения, касающиеся сбора, использования и раскрытия личной информации государственными учреждениями США. Ниже приведены некоторые примеры гарантированных прав, на которые распространяется правило конфиденциальности информации:
Право запрашивать доступ и исправлять данные, если это необходимо: граждане США имеют право на доступ к своим личным данным, хранящимся в государственных учреждениях, и запрашивать изменения, если они считают информацию неточной.
Право доступа к данным (ограничено на индивидуальной основе): Правительственные учреждения предоставляют пользователям доступ к данным в зависимости от их роли в компании.
Право на информацию об использовании данных: Люди должны знать, как агентства используют их личные данные после их сбора.
HIPAA
Принятый в 1996 г. Закон о переносимости и подотчетности медицинского страхования (HIPAA) представляет собой федеральный закон о защите конфиденциальности, который защищает медицинскую информацию физических лиц. HIPAA применяется ко всем организациям, которые обрабатывают защищенную медицинскую информацию (PHI), включая поставщиков медицинских услуг, больницы и страховые компании. Когда компания передает ЗМИ поставщику медицинских услуг или застрахованной организации, физические лица имеют следующие права:
Застрахованная организация может использовать данные пациентов для определенных целей, таких как лечение и оплата. Однако явное разрешение маркетинговой деятельности требует, чтобы поставщики медицинских услуг запрашивали разрешение у пациентов, которым принадлежит их личная информация.
Поставщик медицинских услуг должен предоставить пациенту уведомление о методах обеспечения конфиденциальности, в котором описывается, как поставщик будет использовать и защищать данные пациента. Пациенты могут запрашивать ограничения на то, как поставщики медицинских услуг используют и раскрывают их личную информацию.
Пациенты имеют право обновлять свои медицинские записи, если они считают, что информация неверна.
КОППА
Конгресс принял Закон о защите конфиденциальности детей в Интернете (COPPA) в 1998 для защиты конфиденциальности в Интернете несовершеннолетних в возрасте до 13 лет. COPPA применяется к любому веб-сайту или онлайн-сервису, который собирает, использует или раскрывает личную информацию от детей. В соответствии с COPPA веб-сайты и онлайн-сервисы должны предпринимать следующие шаги для защиты конфиденциальности детей:
Разместите четкую и краткую политику конфиденциальности, объясняющую, какую информацию поставщики услуг будут собирать от детей, как они будут ее использовать и при каких обстоятельствах они будут раскрывать ее третьим лицам.
Получите согласие родителей перед сбором, использованием или раскрытием личных данных детей.
Предоставьте родителям возможность просматривать и удалять личную информацию своего ребенка.
ГЛБА
В 1999 году правительство США подписало Закон Грэмма-Лича-Блайли (GLBA). Этот закон защищает конфиденциальность потребителей и применяется к любому финансовому учреждению, которое собирает, использует или раскрывает личную информацию. Финансовые учреждения должны принимать следующие меры для защиты конфиденциальности физических лиц:
Объясните клиентам методы обмена информацией и разрешите им отказаться от передачи своих данных третьим лицам.
Следуйте установленным правилам сбора, использования и защиты данных клиентов финансовыми учреждениями. Закон распространяется на все типы потребительских данных, включая информацию, собранную в Интернете.
Разработайте и внедрите письменную программу информационной безопасности для защиты данных клиентов от несанкционированного доступа.
Новые законы штата США о конфиденциальности данных
Законы о конфиденциальности в США различаются в зависимости от штата — в некоторых штатах приняты законы, обеспечивающие защиту конфиденциальности, а в других нет никаких правил. Ниже приведены некоторые примеры подписанных и предложенных законов о конфиденциальности отдельных штатов:
.
Калифорния
В 2020 году избиратели в Калифорнии приняли Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA), поправку к CCPA. CPRA обеспечивает дополнительную защиту для калифорнийцев, например, право знать, какие личные данные о них собирают организации, и право знать, продают ли компании свои данные и кому.
Колорадо
Закон штата Колорадо о конфиденциальности — это новый закон, который вступит в силу 1 июля 2023 года. Этот закон требует от компаний раскрывать информацию о своих методах сбора и обмена данными с потребителями и дает жителям Колорадо право отказаться от продажи своих личных данных. . Закон также налагает строгие санкции на компании и уполномочивает генерального прокурора штата возбуждать принудительные действия.
Коннектикут
Закон Коннектикута о конфиденциальности личных данных и онлайн-мониторинге распространяется на любую компанию, которая собирает личную информацию от жителей Коннектикута. Закон устанавливает правила защиты конфиденциальности для контролеров и обработчиков данных и требует от них принятия разумных мер безопасности для защиты персональных данных.
Мэриленд
Закон штата Мэриленд о защите потребителей в Интернете защищает потребителей от угроз кибербезопасности, включая утечку данных, кражу, фишинг и шпионское ПО. Хотя этот закон похож на законы других штатов о конфиденциальности, в некоторых отношениях он является более всеобъемлющим.
Например, закон штата Мэриленд требует от компаний принятия разумных мер для защиты личной информации потребителей от несанкционированного доступа, использования или раскрытия. Закон также требует, чтобы организации предоставляли потребителям возможность отказаться от сбора, использования или продажи их личной информации.
Этот закон применяется ко всем предприятиям, которые собирают, используют или раскрывают личные данные о жителях Мэриленда, включая компании за пределами штата, которые продают товары или услуги местным жителям Мэриленда.
Массачусетс
Закон штата Массачусетс о конфиденциальности данных представляет собой набор правил, регулирующих обращение компаний с личной информацией. Закон распространяется на любую организацию, которая хранит, использует или раскрывает персональные данные жителей Массачусетса.
В некоторых положениях закона говорится, что компании должны получить согласие потребителей, прежде чем собирать или использовать их данные. Кроме того, организации должны предпринять необходимые шаги для защиты данных потребителей. Закон штата также устанавливает, что компании должны раскрывать информацию о том, как они используют данные потребителей, и разрешать клиентам отказываться от конкретных видов использования. Наконец, организации должны убедиться, что собираемые ими данные точны и актуальны.
Нью-Йорк
Нью-Йоркский закон о конфиденциальности является одним из наиболее полных законодательных актов о конфиденциальности и безопасности в США. Этот закон устанавливает строгие правила в отношении того, как предприятия должны обращаться с личной информацией потребителей, и предоставляет физическим лицам новые права в отношении данных. Закон существенно влияет на компании, работающие в штате Нью-Йорк, и помогает всем жителям контролировать свою личную информацию. Некоторые ключевые положения закона о конфиденциальности включают:
Организации должны раскрывать, какие категории потребительских данных они собирают, используют или продают, а также цели, для которых они будут использовать эти данные.
Надежные механизмы правоприменения обеспечивают частное право на иск и применяют гражданско-правовые санкции за каждое нарушение.
Вирджиния
Закон штата Вирджиния о защите данных потребителей — это новый закон, который вступит в силу 1 января 2023 года. Он требует от компаний принятия разумных мер для защиты конфиденциальности, конфиденциальности и целостности данных потребителей.
Этот новый закон применяется к любому бизнесу, который собирает, использует или раскрывает личную информацию 100 000 или более потребителей Вирджинии или получает 50 или более процентов своего дохода от продажи данных потребителей.
Закон также дает жителям Вирджинии право на доступ к своим личным данным и запросить исправление, если они неверны.
Сравнение законов штата США о конфиденциальности
Между законами каждого штата есть существенные различия. Например, законы Калифорнии, Нью-Йорка и Массачусетса распространяются на любую компанию, которая ведет бизнес в штате, независимо от того, есть ли у них там офис. Для сравнения, закон Мэриленда применяется только к организациям, которые физически присутствуют в штате. Кроме того, законы о конфиденциальности Калифорнии и Мэриленда применяются к предприятиям с годовым доходом более 25 миллионов долларов, в то время как в других странах таких ограничений нет.
Какие требования конфиденциальности применяются ко мне?
Хотя экосистема законов штата и федерального законодательства о конфиденциальности может показаться сложной, существуют простые способы определить, какие нормативные требования применяются к вам и вашему бизнесу. Рассмотрим свой бизнес:
Адрес: Работайте со своим партнером по соблюдению нормативных требований и получите хорошее внутреннее представление о том, какие нормы штата и федеральные нормы применяются к вам.
Отрасль: Различные вертикали по-разному относятся к законам США о конфиденциальности, от здравоохранения до розничной торговли и финансовых услуг. Вместе со своим партнером по соблюдению требований вы захотите провести тщательный поиск отраслевых стандартов и внедрить меры и средства контроля для соответствия HIPAA, Регуляторному органу финансовой отрасли и другим отраслевым нормам.
Размер: Если вы храните большие объемы личных или конфиденциальных данных с помощью сторонних поставщиков облачных услуг или организаций, вам также следует перепроверить, чтобы их элементы управления никоим образом не угрожали вашему соответствию требованиям.
Используя эти ключевые факторы, определить, какие требования конфиденциальности применимы к вашей организации, может быть относительно просто.
Часто задаваемые вопросы о конфиденциальности данных
Ниже приведены часто задаваемые вопросы о законах о конфиденциальности данных.
В: Чем законы о конфиденциальности в США отличаются от европейских?
О: Самое существенное отличие заключается в том, что в США нет единого комплексного федерального закона о конфиденциальности, подобного GDPR ЕС. Вместо этого в США есть лоскутное одеяло из федеральных законов и законов штатов, которые предлагают различные уровни защиты личных данных потребителей.
В: Каковы основные пункты федеральных законов США и законов штата о конфиденциальности?
A: Большинство законов США о конфиденциальности имеют несколько основных положений, таких как получение согласия потребителя перед сбором или использованием персональных данных и необходимость принятия мер по обеспечению безопасности данных. Однако между законами есть некоторые существенные различия, поэтому важно проверять конкретные требования каждого указа, чтобы обеспечить их соблюдение.
В: Каковы последствия нарушения законов США о конфиденциальности?
A: Последствия нарушения законов США о конфиденциальности могут различаться в зависимости от закона. В некоторых случаях юридические лица могут быть подвергнуты штрафам или другим санкциям. В других случаях потребители могут иметь право предъявить иск компании о возмещении ущерба.
Будущее законов о конфиденциальности данных
По мере того, как каждый год все больше личных и конфиденциальных данных переходит из рук в руки в цифровом виде, понимание законов, защищающих нашу конфиденциальность, становится все более важным. В Соединенных Штатах законы о конфиденциальности в Интернете все еще находятся в стадии разработки, но они являются хорошим началом для защиты личных данных. Граждане и жители могут ожидать, что в будущем все больше штатов примут всеобъемлющие законы о конфиденциальности, а федеральное правительство может в конечном итоге принять закон, обеспечивающий общенациональную защиту данных потребителей.
В то же время, чтобы быть в курсе последних мер безопасности и изменений в области конфиденциальности данных, необходимо принимать меры для защиты вашей личной информации. Развертывание решений для предотвращения потери данных и обнаружения угроз также может помочь вам защитить ваши данные и обеспечить соблюдение законов о конфиденциальности.
Мы Варонис.
С 2005 года мы защищаем самые ценные в мире данные от врагов с помощью нашей ведущей на рынке платформы защиты данных.
Как это работает
Дэвид Харрингтон
Дэвид — профессиональный писатель и консультант по передовым идеям для брендов корпоративных технологий, стартапов и фирм венчурного капитала.
Продолжайте читать
Сравнительные таблицы законов США о конфиденциальности данных на уровне штатов
КРАТКОЕ ОПИСАНИЕ
2 февраля 2022 г.
В ЭТОЙ СТАТЬЕ
Каковы основы?
Насколько законы США о защите данных соотносятся с GDPR?
Кто должен соблюдать каждый закон о конфиденциальности данных?
Каковы последствия несоблюдения?
[ Узнайте больше о важных новостях закона о конфиденциальности и безопасности данных, экспертном анализе и практических инструментах Bloomberg Law.]
Новейшие законы США о конфиденциальности данных имеют много общего — как друг с другом, законы, из которых они черпали вдохновение, но тонкие различия могут сбить с толку даже самых опытных специалистов по соблюдению требований. Здесь Bloomberg Law предоставляет легко читаемое сравнение законов США о конфиденциальности данных по штатам, а также сравнение GDPR с новыми законами США о конфиденциальности данных в Калифорнии, Вирджинии и Колорадо.
Подпись: Карта законов о конфиденциальности данных по штатам Каковы основы? GDPR CCPA КПРА ВЦДПА СРА Имя Общее положение о защите данных Закон штата Калифорния о конфиденциальности потребителей Закон штата Калифорния о правах на неприкосновенность частной жизни Закон о защите данных потребителей Закон штата Колорадо о конфиденциальности Цитата ЕС/2016/679 Кал. Гражданский Кодекс § 1798.100 и далее. Кал. Гражданский Кодекс § 1798.100 и далее. Вирджиния. Кодекс § 59.1-571 и след. Colo. Rev. Stat. § 6-1-1301 и след. Юрисдикция Европейский Союз Калифорния Калифорния Вирджиния Колорадо Модель Подключиться Отказ Отказ Отказ Отказ от участия Сектор Неотраслевой Неотраслевой Неотраслевой Неотраслевой Неотраслевой Дата вступления в силу 25 мая 2018 г. 1 января 2020 г. 16 декабря 2020 г.; 1 января 2023 г. 1 января 2023 г. 1 июля 2023 г. [ Загрузите полную таблицу для получения всей важной информации.] GDPR CCPA КПРА ВЦДПА СРА Чьи данные защищены? Законодательный срок Субъект данных Потребитель Потребитель Потребитель Потребитель Определено Физическое лицо в ЕС Физическое лицо, являющееся резидентом ЦА Физическое лицо, являющееся резидентом ЦА Физическое лицо, являющееся резидентом Вирджинии Физическое лицо, являющееся резидентом СО Какие типы данных защищены? Установленный законом срок Персональные данные Личная информация Личная информация Персональные данные Персональные данные Определяется как Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу Информация, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством Информация, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством Любая информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым физическим лицом Информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом Определение исключает обезличенные данные GDPR использует термин «псевдонимизированный», а не «обезличенный». Согласно Декларации 26, персональные данные, подвергшиеся псевдонимизации, которые могут быть отнесены к физическому лицу путем использования дополнительной информации, должны считаться персональными данными. Да, но см. положения о повторной идентификации обезличенной информации. Кал. Гражданский Код §1798.148. Да, но см. положения о повторной идентификации обезличенной информации. Кал. Гражданский Код §1798.148. Более того, CPRA уполномочивает генерального прокурора обновить определение «анонимизированного». Кал. Гражданский Кодекс §1798.185(а). Да, но к обезличенным данным применяются особые требования. См. Кодекс штата Вирджиния, § 59.1-581. Да, но к обезличенным данным применяются особые требования. См. Colo. Rev. Stat.§ 6-1-1307. Определение не включает общедоступную информацию Нет Да Да Да Да Определение исключает совокупную информацию Не указано, но в пункте 162 пункта Декларации указано, что GDPR применяется к обработке персональных данных в статистических целях. Да Да Не указано Не указано [ Загрузить полную таблицу для быстрого обзора всей важной информации.] GDPR Общий регламент по защите данных Союза (ЕС). Персональные данные, подпадающие под действие закона, определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Он исключает «псевдонимизированные» данные, но не исключает общедоступные данные. В преамбуле 162 указано, что GDPR применяется к обработке персональных данных в статистических целях. CCPA Закон штата Калифорния о конфиденциальности потребителей (CCPA) защищает потребителя, который определяется как физическое лицо, проживающее в Калифорнии. CCPA применяется к информации, которая идентифицирует, относится, описывает, может быть связана или может быть связана, прямо или косвенно, с конкретным потребителем или домохозяйством. CCPA исключает деидентифицированные данные, общедоступную информацию и агрегированную информацию. CPRA Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) защищает потребителя, который определяется как физическое лицо, проживающее в Калифорнии. CPRA применяется к информации, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. Он исключает деидентифицированные данные, общедоступную информацию и агрегированную информацию. VCDPA Закон штата Вирджиния о защите данных потребителей, или VCDPA, защищает потребителя, который определяется как физическое лицо, проживающее в Вирджинии. Он защищает личную информацию, которая определяется как любая информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым физическим лицом. VCDPA исключает обезличенные данные и общедоступные данные. В нем не указывается, исключается ли совокупная информация. CPA Закон штата Колорадо о конфиденциальности (CPA) защищает потребителя, которым считается физическое лицо, проживающее в штате Колорадо. Он защищает персональные данные, которые определяются как информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом. CPA исключает обезличенные данные и общедоступные данные. В нем не указывается, исключается ли совокупная информация. Загрузить полную таблицу Вся важная информация и часто задаваемые вопросы о законах о конфиденциальности данных в США доступны в нашей загружаемой таблице. Кто должен соблюдать каждый закон о конфиденциальности данных? GDPR CCPA КПРА ВЦДПА СРА Порог юрисдикции Обрабатывает персональные данные в контексте деятельности «учреждения» в ЕС или обрабатывает персональные данные физических лиц в ЕС, связанные с предложением им товаров и услуг или мониторингом их поведения «Ведет бизнес» в Калифорнии «Ведет бизнес» в Калифорнии «Ведение бизнеса» в Вирджинии или производство продуктов или услуг, «ориентированных» на жителей Вирджинии «Ведет бизнес» в Колорадо или производит или поставляет коммерческие продукты или услуги, «намеренно ориентированные» на жителей Колорадо Порог дохода Нет Годовой валовой доход более 25 миллионов долларов США Годовой валовой доход более 25 миллионов долларов США в предыдущем календарном году Нет Нет Порог обработки Нет Данные 50 000 или более потребителей Данные 100 000 или более потребителей Данные 100 000 или более потребителей Данные 100 000 и более потребителей Брокерский порог Нет Не менее 50% выручки от продажи данных Не менее 50% дохода от продажи или обмена данными Данные 25 000 и более потребителей + не менее 50% выручки от продажи данных Данные 25 000 или более потребителей + извлекает доход или получает скидку от продажи данных [ Скачать полная таблица для краткого обзора всей важной информации. ] GDPR GDPR требует соблюдения со стороны любой организации, которая обрабатывает персональные данные в контексте деятельности «учреждения» в ЕС или обрабатывает персональные данные лица в ЕС, связанные с предложением им товаров и услуг или мониторингом их поведения. Не существует порога дохода, порога обработки или порога брокера. CCPA CCPA применяется к организациям, которые «ведут бизнес» в Калифорнии и соответствуют следующим пороговым значениям: годовой валовой доход более 25 миллионов долларов, обрабатывать данные 50 000 и более потребителей, не менее 50% выручки поступает от продажи данных. CPRA CPRA применяется к организациям, ведущим бизнес в Калифорнии, которые соответствуют следующим пороговым значениям: годовой валовой доход более 25 миллионов долларов США в предыдущем календарном году, обрабатывать данные 100 000 или более потребителей, не менее 50% дохода поступает от продажи или обмена данными. [ Щелкните здесь, чтобы просмотреть полный глоссарий терминов в рамках CCPA/CPRA .] VCDPA VCDPA применяется к организациям, которые «ведут бизнес» в Вирджинии или производят продукты или услуги, «ориентированные» на жителей Вирджинии. Порога дохода нет, но закон применяется только к организациям, которые обрабатывают данные 100 000 или более потребителей или компаний, которые обрабатывают данные, или не менее 25 000 потребителей, получая при этом более 50 процентов валового дохода от продажи этих данных. CPA CPA применяется к любой организации, которая «ведет бизнес» в Колорадо или производит или поставляет коммерческие продукты или услуги, «намеренно ориентированные» на жителей Колорадо. Организации должны соответствовать одному из двух пороговых значений, чтобы подпадать под действие закона, и оба пороговых значения касаются минимального количества затронутых потребителей. Организации должны контролировать или обрабатывать (i) персональные данные не менее 100 000 потребителей или (ii) персональные данные не менее 25 000 потребителей, получая при этом доход или скидку от продажи этих данных. Каковы последствия несоблюдения? GDPR CCPA КПРА ВЦДПА СРА Несоответствие Административные штрафы до 20 миллионов евро или 4% от общего годового оборота по всему миру за предыдущий финансовый год, в зависимости от того, что больше. По искам, поданным AG, гражданско-правовые санкции в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. Бездействие со стороны потребителей в связи с нарушениями безопасности, установленный законом ущерб в размере не менее 100 и не более 750 долларов США на одного потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше. Административные штрафы в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, возмещение установленного законом ущерба не менее 100 и не более 750 долларов США на потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше. Если контролер или обработчик продолжает нарушать VCDPA после периода исправления или нарушает прямое письменное заявление, предоставленное Генеральному прокурору, Генеральный прокурор может инициировать действие от имени Содружества и может добиваться судебного запрета для пресечения любых нарушений VCDPA и гражданские штрафы в размере до 7500 долларов за каждое нарушение. Для целей исполнительного производства, возбужденного генеральным прокурором или окружным прокурором, нарушение CPA представляет собой обманную торговую практику. [ Загрузите полную таблицу для краткого обзора всей важной информации.] GDPR Последствиями несоблюдения GDPR являются административные штрафы до 20 миллионов евро или 4 % от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше. CCPA По искам, возбужденным Генеральным прокурором, нарушителям CCPA грозит административный штраф в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. Последствиями исков, возбужденных потребителями в связи с нарушениями безопасности, являются предусмотренные законом убытки в размере не менее 100 и не более 750 долларов США на каждого потребителя за инцидент или фактические убытки, в зависимости от того, что больше. CPRA Последствиями несоблюдения CPRA являются административные штрафы в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, штрафом является установленный законом ущерб в размере не менее 100 и не более 750 долларов США на каждого потребителя за инцидент или фактический ущерб, в зависимости от того, что больше. [ Какая разница? Узнайте больше о сравнении CCPA и CPRA.] VCDPA Если контролер или обработчик продолжает нарушать VCDPA после периода исправления или нарушает прямое письменное заявление, предоставленное Генеральному прокурору, Генеральный прокурор может инициировать иск от имени Содружества и может добиваться судебного запрета на любые нарушения VCDPA и гражданских штрафов в размере до 7500 долларов США за каждое нарушение. CPA Для целей исполнительного производства, возбужденного генеральным прокурором или окружным прокурором, нарушение CPA представляет собой обманную торговую практику. Отчет CFIUS предлагает ценные уроки для иностранных инвесторов Авторы: Бакита Хилл и Тод Нортман 19 сентября 2022 г. 4:00 Федеральный апелляционный суд оставил в силе закон Техаса о социальных сетях (2) Джо Шнайдер 16 сентября 2022 г. 18:52 Документы Трампа будут рассмотрены уходящим в отставку судьей, заявил суд Зои Тиллман и Патрисия Уртадо 15 сентября 2022 г. 19:53 Почему сегодня защита конфиденциальности — проигрышная игра, и как изменить игру Это классический эпизод шоу «Я люблю Люси». », в котором Люси работает, заворачивая конфеты на сборочном конвейере. Очередь становится все быстрее, конфеты все ближе и ближе друг к другу, и по мере того, как они продолжают отставать все дальше и дальше, Люси и ее подруга Этель карабкаются все сильнее и сильнее, чтобы не отставать. «Я думаю, что мы ведем проигрышную игру, — говорит Люси. Вот где мы находимся сегодня с конфиденциальностью данных в Америке. Все больше и больше данных о каждом из нас генерируется все быстрее и быстрее с все большего количества устройств, и мы не успеваем за ними. Это проигрышная игра как для отдельных лиц, так и для нашей правовой системы. Если мы не изменим правила игры в ближайшее время, она превратится в проигрышную игру для нашей экономики и общества. Все больше и больше данных о каждом из нас генерируется все быстрее и быстрее с все большего количества устройств, и мы не успеваем за ними. Это проигрышная игра как для отдельных лиц, так и для нашей правовой системы. Драма с Cambridge Analytica стала последней в серии вспышек, которые привлекли внимание людей так, как постоянный поток утечек данных и неправомерного использования данных не привлек. Первым из этих потрясений стали разоблачения Сноудена в 2013 году. Они привели к появлению затяжных и захватывающих заголовков историй, которые пролили свет на количество информации о нас, которая может оказаться в неожиданных местах. Раскрытие информации также повысило осведомленность о том, как много можно узнать из таких данных («мы убиваем людей на основе метаданных», — сказал бывший директор АНБ и ЦРУ Майкл Хейден). Толчки почувствовали не только правительство, но и американские компании, особенно те, чьи названия и логотипы появились в новостях Сноудена. Они столкнулись с подозрением со стороны клиентов дома и сопротивлением рынка со стороны клиентов за границей. Чтобы восстановить доверие, они настаивали на раскрытии информации об объеме требований по слежке и об изменениях в законах о слежке. Apple, Microsoft и Yahoo вели публичные юридические баталии с правительством США. Затем произошел прошлогодний взлом Equifax, в результате которого была скомпрометирована идентификационная информация почти 146 миллионов американцев. Это было не больше, чем некоторые из длинных списков утечек данных, которые ему предшествовали, но оно ударило сильнее, потому что оно затронуло финансовую систему и затронуло отдельных потребителей, которые никогда не имели дел с Equifax напрямую, но, тем не менее, должны были столкнуться с последствиями его кредита. баллы по хозяйственной жизни. Для этих людей взлом стал еще одной демонстрацией того, как много важных данных о них перемещается без их контроля, но оказывает влияние на их жизнь. Теперь истории Cambridge Analytica привлекли еще более пристальное внимание общественности, дополненное прямыми телевизионными врезками к показаниям Марка Цукерберга в Конгрессе. Мало того, что многие люди, чьи данные были собраны, были удивлены тем, что компания, о которой они никогда не слышали, получили так много личной информации, история Cambridge Analytica затрагивает все противоречия, связанные с ролью социальных сетей в катаклизме президентских выборов 2016 года. . По оценкам Facebook, Cambridge Analytica смогла использовать свое «академическое» исследование данных примерно о 87 миллионах американцев (в то время как перед выборами 2016 года генеральный директор Cambridge Analytica Александр Никс хвастался наличием профилей с 5000 точек данных о 220 миллионах американцев). С более чем двумя миллиардами пользователей Facebook по всему миру многие люди заинтересованы в этом вопросе, и, как и истории Сноудена, он привлекает пристальное внимание во всем мире, о чем свидетельствует Марк Цукерберг, выступая со своими законодательными показаниями по дороге в Европейский парламент. . Истории Сноудена вынудили внести существенные изменения в слежку с принятием законодательства США, ограничивающего сбор телефонных метаданных и повышающего прозрачность и меры безопасности при сборе разведданных. Приведут ли все слушания и общественное внимание к Equifax и Cambridge Analytica к аналогичным изменениям в коммерческом секторе Америки? Очень на это надеюсь. Я возглавлял рабочую группу администрации Обамы, которая разработала «Билль о правах потребителей в отношении конфиденциальности», изданный Белым домом в 2012 году при поддержке как бизнеса, так и защитников конфиденциальности, а затем подготовила проект закона, чтобы этот билль о правах стал законом. Законодательное предложение, выпущенное после моего ухода из правительства, не получило большой поддержки, поэтому эта инициатива остается незавершенной. Истории Cambridge Analytica вызвали новые призывы к принятию федерального законодательства о конфиденциальности со стороны членов Конгресса от обеих партий, редакционных коллегий и комментаторов. После громких слушаний по делу Цукерберга сенаторы и конгрессмены переходят к размышлениям о том, что делать дальше. Некоторые уже представили законопроекты, а другие думают о том, как могут выглядеть предложения о конфиденциальности. Потекли статьи и темы в Твиттере о том, что делать. Различные группы в Вашингтоне собирались для разработки предложений по законодательству. На этот раз предложения могут оказаться на более благодатной почве. Председатель сенатского комитета по торговле Джон Тьюн (R-SD) сказал, что «многие из моих коллег по обе стороны прохода были готовы уступить усилиям технологических компаний по саморегулированию, но это может измениться». Ряд компаний все чаще открыты для обсуждения основного федерального закона о конфиденциальности. В частности, Цукерберг сказал CNN: «Я не уверен, что мы не должны регулироваться», а Тим Кук из Apple выразил свое твердое убеждение в том, что саморегулирование больше не является жизнеспособным. В последнее время события меняют отношение деловых кругов к перспективам федерального законодательства о конфиденциальности. Речь идет не только о возмещении ущерба или приспособлении к «технологическим ударам» и разочарованию потребителей. В течение некоторого времени события меняют то, как деловые круги рассматривают перспективу федерального законодательства о конфиденциальности. Растущее распространение законодательства штатов о сетевом нейтралитете, дронах, образовательных технологиях, считывателях номерных знаков и других вопросах, а также, особенно широкое новое законодательство в Калифорнии, упреждающее инициативу голосования, сделали возможным единый набор федеральных правил для всех 50 штатов выглядят привлекательно. Для многонациональных компаний, которые потратили два года на подготовку к соблюдению нового закона о защите данных, вступившего в силу в ЕС, работа с всеобъемлющим законом США больше не выглядит пугающей. И все больше компаний видят ценность в общем базовом уровне, который может дать людям уверенность в том, как их данные обрабатываются и защищены от выбросов и преступников. Это изменение в корпоративном секторе открывает возможность того, что эти интересы могут объединиться с интересами защитников конфиденциальности в всеобъемлющем федеральном законодательстве, обеспечивающем эффективную защиту потребителей. Компромиссы для получения последовательных федеральных правил, которые вытесняют некоторые сильные законы штата и средства правовой защиты, будут трудными, но при достаточно сильной федеральной основе действия могут быть достижимы. Сноуден, Equifax и Cambridge Analytica приводят три очевидных причины для принятия мер. На самом деле есть квинтиллионы причин. Вот как, по оценкам IBM, мы генерируем цифровую информацию9.0325 квинтиллионов байт данных каждый день — число, за которым следуют 30 нулей. Этот взрыв вызван удвоением вычислительной мощности компьютеров каждые 18-24 месяца, что привело к росту информационных технологий на протяжении всей компьютерной эпохи, теперь усугубляемых миллиардами устройств, которые собирают и передают данные, устройства хранения и центры обработки данных, которые удешевляют их. а также более простое хранение данных с этих устройств, большая пропускная способность для более быстрого перемещения этих данных и более мощное и сложное программное обеспечение для извлечения информации из этой массы данных. Все это одновременно обеспечивается и усиливается за счет сингулярности сетевых эффектов — ценности, которая добавляется благодаря подключению к другим в сети — способами, которые мы все еще изучаем. Эта информация Big Bang удваивает объем цифровой информации в мире каждые два года. Взрыв данных, который поставил конфиденциальность и безопасность в центр внимания, будет ускоряться. Футуристы и бизнес-прогнозисты спорят о том, сколько десятков миллиардов устройств будет подключено в ближайшие десятилетия, но порядок величин безошибочен и ошеломляет по своему влиянию на количество и скорость битов информации, перемещающихся по всему миру. Скорость изменений головокружительна, и она станет еще быстрее — гораздо более головокружительной, чем конвейер Люси. Самые последние предложения по законодательству о конфиденциальности направлены на решение проблем, связанных с этим взрывом. Нарушение Equifax привело к появлению законодательства, направленного против брокеров данных. Ответы на роль Facebook и Twitter в публичных дебатах были сосредоточены на раскрытии политической рекламы, что делать с ботами или ограничениях на онлайн-отслеживание рекламы. Законодательство большинства штатов нацелено на конкретные темы, такие как использование данных продуктов образовательных технологий, доступ работодателей к учетным записям в социальных сетях и защита конфиденциальности от дронов и считывателей номерных знаков. Упрощение и расширение мер контроля конфиденциальности Facebook и недавние федеральные законы о конфиденциальности в ответ на события сосредоточены на повышении прозрачности и расширении выбора для потребителей. Как и недавно принятый Калифорнийский закон о конфиденциальности. Эта информация Big Bang удваивает объем цифровой информации в мире каждые два года. Взрыв данных, который поставил конфиденциальность и безопасность в центр внимания, будет ускоряться. Самые последние предложения по законодательству о конфиденциальности направлены на решение проблем, связанных с этим взрывом. Подобные меры удваивают существующий американский режим конфиденциальности. Проблема в том, что эта система не может идти в ногу со взрывным ростом цифровой информации, и распространение этой информации подрывает ключевые положения этих законов, и это становится все более вопиющим образом. Наши действующие законы были разработаны для решения проблемы сбора и хранения структурированных данных государственными, деловыми и другими организациями и трещат по швам в мире, где мы все связаны и постоянно обмениваемся информацией. Настало время для более комплексного и амбициозного подхода. Нам нужно мыслить шире, иначе мы продолжим играть в проигрышную игру. Существующие законы разрабатывались как ряд ответов на конкретные проблемы, шахматная доска федеральных законов и законов штатов, юриспруденция общего права, а также государственное и частное правоприменение, которое создавалось более века. Это началось со знаменитой статьи Harvard Law Review (позже) судьи Луи Брандейса и его партнера по закону Сэмюэля Уоррена в 1890 году, которая послужила основой для прецедентного права и государственных законов на протяжении большей части 20-го века, большая часть которых касалась влияния средств массовой информации. на отдельных лиц, которые хотели, как выразились Уоррен и Брандейс, «чтобы их оставили в покое». Появление мейнфреймов привело к принятию первых законов о конфиденциальности данных в 1974, чтобы рассмотреть власть информации в руках крупных учреждений, таких как банки и правительство: федеральный закон о достоверной кредитной отчетности, который дает нам доступ к информации о кредитных отчетах, и закон о конфиденциальности, который регулирует федеральные агентства. Сегодня наша шахматная доска законов о конфиденциальности и безопасности данных охватывает данные, которые больше всего беспокоят людей. К ним относятся данные о здоровье, генетическая информация, студенческие записи и информация, относящаяся к детям в целом, финансовая информация и электронная связь (с различными правилами для операторов связи, кабельных провайдеров и электронной почты). За пределами этих конкретных секторов нет полностью беззаконной зоны. После того, как Алабама приняла закон в апреле прошлого года, все 50 штатов теперь имеют законы, требующие уведомления об утечке данных (с различными вариантами того, кто должен быть уведомлен, как быстро и при каких обстоятельствах). Заставив организации сосредоточиться на личных данных и способах их защиты, подкрепленные публичными и частными судебными разбирательствами, эти законы оказали значительное влияние на методы обеспечения конфиденциальности и безопасности. Кроме того, с 2003 г. Федеральная торговая комиссия — с большинством как республиканцев, так и демократов — использовала свои правоприменительные полномочия для регулирования недобросовестной и вводящей в заблуждение коммерческой практики, а также для пресечения необоснованных методов обеспечения конфиденциальности и информационной безопасности. Это правоприменение, отражаемое генеральными прокурорами многих штатов, основывалось в первую очередь на обмане, основанном на несоблюдении политики конфиденциальности и других обещаний конфиденциальности. Эти рычаги правоприменения в конкретных случаях, а также публичное разоблачение могут быть мощными инструментами для защиты конфиденциальности. Но в мире технологий, которые работают в массовом масштабе, быстро двигаются и делают что-то, потому что могут, реагирование на конкретные злоупотребления постфактум не обеспечивает достаточных ограждений. По мере того, как вселенная данных продолжает расширяться, все больше и больше она выходит за рамки различных конкретных законов книг. Это включает в себя большую часть данных, которые мы генерируем с помощью таких широко распространенных приложений, как веб-поиск, социальные сети, электронная коммерция и приложения для смартфонов. Изменения происходят быстрее, чем может адаптироваться законодательство или нормативные правила, и они стирают отраслевые границы, которые определяют наши законы о конфиденциальности. Возьмем, к примеру, мои смарт-часы: данные, которые они генерируют о моем пульсе и активности, подпадают под действие Закона о переносимости и подотчетности медицинского страхования (HIPAA), если они предоставляются моему врачу, но не когда они поступают в фитнес-приложения, такие как Strava ( где я могу сравнить свои результаты с моими сверстниками). В любом случае, это одни и те же данные, столь же чувствительные для меня и столь же опасные в чужих руках. По мере того, как вселенная данных продолжает расширяться, все больше и больше ее выходит за рамки различных конкретных законов книг. Мало смысла в том, чтобы защита данных полностью зависела от того, кому они принадлежат. Этот произвол будет распространяться по мере того, как все больше и больше подключенных устройств внедряются во все, от одежды и автомобилей до бытовой техники и уличной мебели. Добавьте к этому поразительные изменения в моделях бизнес-интеграции и инноваций — традиционные операторы телефонной связи, такие как Verizon и AT&T, выходят на рынок развлечений, в то время как стартапы выходят в провинции финансовых учреждений, таких как торговля валютой и кредит, и все виды предприятий конкурируют за место в автономном транспортном средстве. экосистемы — и отраслевые границы, определяющие защиту конфиденциальности в США, перестают иметь какой-либо смысл. Передача такого большого количества данных в стольких руках также меняет характер информации, которая защищена как частная. Для большинства людей «личная информация» означает такую информацию, как номера социального страхования, номера счетов и другую информацию, которая уникальна для них. Законы США о конфиденциальности отражают эту концепцию, стремясь к «личной информации», но специалисты по данным неоднократно демонстрировали, что этот фокус может быть слишком узким. Агрегация и корреляция данных из различных источников делают все более возможным связать предположительно анонимную информацию с конкретными лицами и сделать вывод о характеристиках и информации о них. В результате сегодня все больше и больше данных могут быть личной информацией, т. е. однозначно идентифицировать нас. Немногие законы или постановления касаются этой новой реальности. В наши дни почти каждый аспект нашей жизни находится в руках какой-то третьей стороны. Это ставит под сомнение суждения об «ожиданиях в отношении конфиденциальности», которые были основной предпосылкой для определения объема защиты конфиденциальности. Эти суждения представляют собой бинарный выбор: если личная информация каким-то образом становится общедоступной или находится в руках третьей стороны, считается, что люди не ожидают конфиденциальности. Это особенно верно, когда речь идет о доступе правительства к информации — например, электронные письма номинально менее защищены в соответствии с нашими законами, если они хранятся 180 дней и более, а статьи и действия, находящиеся на виду, считаются категорически доступными для государственных органов. Но эта концепция также применяется к коммерческим данным с точки зрения условий обслуживания и к извлечению информации с общедоступных веб-сайтов, например, в двух случаях. По мере того как все больше устройств и сенсоров развертывается в средах, через которые мы проходим в наши дни, конфиденциальность станет невозможной, если будет считаться, что мы отказались от своей конфиденциальности, просто путешествуя по миру или делясь ею с любым другим человеком. Многие люди говорят, что конфиденциальность мертва, начиная с самого известного случая со Скоттом МакНили из Sun Microsystems в 20-м веке («у вас нет конфиденциальности… преодолей это»), и с тех пор его подхватил хор отчаявшихся писателей. Без нормативных правил, обеспечивающих более постоянный якорь, чем меняющиеся ожидания, настоящая конфиденциальность фактически может быть мертва или умирает. Верховный суд может что-то сказать по этому поводу, поскольку нам потребуется более широкий набор норм для защиты конфиденциальности в условиях, которые считались публичными. Конфиденциальность может сохраняться, но для нее нужна более прочная основа. Верховный суд в своем недавнем решении Carpenter признал, как постоянные потоки данных о нас меняют способы защиты конфиденциальности. Постановив, что для принудительного получения записей о местоположении сотовых телефонов требуется ордер, Суд рассмотрел «подробную, энциклопедическую и без особых усилий скомпилированную» информацию, доступную из записей о местоположении сотовых служб, и «сейсмические сдвиги в цифровых технологиях», которые сделали эти записи доступными, и пришел к выводу, что люди не обязательно отказываются от интересов конфиденциальности, чтобы собирать данные, которые они генерируют, или участвуя в поведении, которое можно наблюдать публично. В то время как среди судей существовали разногласия относительно источников норм конфиденциальности, двое несогласных, судья Алито и Горсач, указали на «ожидания конфиденциальности» как на уязвимые, поскольку они могут быть подорваны или отброшены. То, как это историческое решение о конфиденциальности повлияет на широкий спектр цифровых доказательств, будет проявляться в уголовных делах, а не в коммерческом секторе. Тем не менее мнения по делу указывают на необходимость более широкого набора норм для защиты конфиденциальности в условиях, которые, как считается, делают информацию общедоступной. Конфиденциальность может сохраняться, но для нее нужна более прочная основа. Наши существующие законы также в значительной степени зависят от уведомления и согласия — уведомлений о конфиденциальности и политик конфиденциальности, с которыми мы сталкиваемся в Интернете или получаем от компаний, выпускающих кредитные карты, и поставщиков медицинских услуг, а также отметок, которые мы проверяем, или форм, которые мы подписываем. Именно эти декларации служат основанием для того, чтобы Федеральная торговая комиссия выявляла мошеннические методы и действия, когда компании не выполняли своих обещаний. Эта система следует модели информированного согласия в медицинской помощи и исследованиях на людях, где согласие часто запрашивается лично, и была импортирована в конфиденциальность в Интернете в 1990-е. Идея политики США тогда заключалась в том, чтобы способствовать росту Интернета, избегая регулирования и продвигая «рыночное решение», в котором люди будут проинформированы о том, какие данные собираются и как они будут обрабатываться, и могут делать выбор на этой основе. Возможно, два десятилетия назад информированное согласие было практичным, но сегодня это фантастика. В постоянном потоке онлайн-взаимодействий, особенно на маленьких экранах, на которые сейчас приходится большая часть использования, нереально прочитать политику конфиденциальности. А людей просто нет. Дело не только в том, что какая-то конкретная политика конфиденциальности «отстойная», как выразился сенатор Джон Кеннеди (R-LA) на слушаниях в Facebook. Зейнеп Туфеки права в том, что эти разоблачения неясны и сложны. Некоторые формы уведомления необходимы, и может помочь внимание к пользовательскому опыту, но проблема не исчезнет, независимо от того, насколько хорошо продумано раскрытие информации. Я могу подтвердить, что написать простую политику конфиденциальности сложно, потому что эти документы имеют юридическую силу и должны объяснять различные способы использования данных; вы можете быть простым и говорить слишком мало, или вы можете быть полным, но слишком сложным. Эти уведомления имеют некоторую полезную функцию в качестве заявления о политике, по которой регулирующие органы, журналисты, защитники конфиденциальности и даже сами компании могут оценивать эффективность, но они функционально бесполезны для большинства людей, и мы слишком много полагаемся на них. Возможно, два десятилетия назад информированное согласие было практичным, но сегодня это фантастика. В постоянном потоке онлайн-взаимодействий, особенно на маленьких экранах, на которые сейчас приходится большая часть использования, нереально прочитать политику конфиденциальности. А людей просто нет. В конце концов, прочитать даже самое простое уведомление о конфиденциальности на английском языке слишком сложно, а о том, чтобы ознакомиться с положениями и условиями или настройками конфиденциальности для всех служб, которые мы используем, не может быть и речи. Недавний поток электронных писем о политиках конфиденциальности и формах согласия, которые мы получили с появлением Общего регламента ЕС по защите данных, предложил новые средства контроля над тем, какие данные собираются или передаются, но насколько они действительно помогли людям понять? Репортер Wall Street Journal Джоанна Стерн попыталась проанализировать все, что она получила (распечатано достаточно бумаги, чтобы растянуться больше, чем на длину футбольного поля), но прибегла к сканированию нескольких конкретных вопросов. В современном мире постоянных подключений решения, ориентированные на повышение прозрачности и расширение выбора для потребителей, являются неполным ответом на текущие проблемы конфиденциальности. Более того, индивидуальный выбор становится совершенно бессмысленным, поскольку все более автоматизированный сбор данных не оставляет возможности для какого-либо реального уведомления, не говоря уже о личном согласии. Нас не спрашивают о согласии на условия камер наблюдения на улицах или «маяков» в магазинах, которые принимают идентификаторы мобильных телефонов, а гостей дома обычно не спрашивают, согласны ли они с тем, чтобы умные динамики домовладельцев улавливали их речь. . В лучшем случае где-нибудь может быть размещена табличка о том, что эти устройства установлены. По мере того, как устройства и датчики все чаще развертываются в средах, через которые мы проходим, некоторый постфактумный доступ и контроль могут играть роль, но старомодные уведомления и выбор становятся невозможными. В конечном счете, привычные подходы требуют слишком многого от отдельных потребителей. Как обнаружил Совет советников президента по научно-технической политике в отчете о больших данных за 2014 год, «концептуальная проблема с уведомлением и выбором заключается в том, что она возлагает бремя защиты конфиденциальности на человека», что приводит к неравной сделке, « своего рода провал рынка». Это невыносимое бремя создает огромное несоответствие информации между человеком и компаниями, с которыми он имеет дело. Как Фрэнк Паскуале страстно анализирует в своем «Обществе черного ящика», мы очень мало знаем о том, как работают компании, которые собирают наши данные. Не существует практического способа, которым даже достаточно искушенный человек может разобраться в данных, которые они генерируют, и в том, что эти данные говорят о них. В конце концов, анализ расширяющейся вселенной данных — это то, чем занимаются специалисты по данным. Постдоки и доктора наук в Массачусетском технологическом институте (где я являюсь приглашенным ученым в Медиа-лаборатории), а также десятки тысяч таких же исследователей данных в академических кругах и бизнесе постоянно открывают новую информацию, которую можно извлечь из данных о людях и новые способы, которыми предприятия могут или используют эту информацию. Как остальные из нас, далекие от специалистов по данным, могут надеяться не отставать? В результате компании, которые используют данные, знают гораздо больше, чем мы, о том, из чего состоят наши данные и что их алгоритмы говорят о нас. Добавьте эту огромную пропасть в знаниях и силе к отсутствию каких-либо реальных компромиссов в нашем постоянном обмене информацией, и вы получите компании, способные в целом устанавливать условия, на которых они собирают и делятся этими данными. Предприятия в целом могут устанавливать условия, на которых они собирают и обмениваются этими данными. Это не «рыночное решение», которое работает. Это не работающее «рыночное решение». Исследовательский центр Pew Research Center отследил онлайн-доверие и отношение к Интернету и онлайн-компаниям. Когда Pew провел опросы и фокус-группы в 2016 году, он обнаружил, что «хотя многие американцы готовы делиться личной информацией в обмен на ощутимую выгоду, они часто опасаются раскрывать свою информацию и часто недовольны тем, что происходит с этой информацией после того, как компании собрал». Многие люди «неуверенны, смирены и раздражены». Растет число исследований в том же духе. Неопределенность, покорность и раздражение вряд ли являются рецептом здорового и устойчивого рынка, надежных брендов или согласия управляемых. Рассмотрим пример журналистки Джулии Ангвин. Она провела год, пытаясь жить, не оставляя цифровых следов, о чем она рассказала в своей книге «Dragnet Nation». Среди прочего, она избегала оплаты кредитной картой и установила фальшивую личность, чтобы получить карту, когда она не могла избежать ее использования; долго искал зашифрованные облачные сервисы для большей части электронной почты; приняла одноразовые телефоны, которые она выключала, когда не использовала, и использовала очень мало; и выбрал платные услуги подписки вместо поддерживаемых рекламой. Год ее анонимной жизни был не просто практическим руководством по защите конфиденциальности данных, а продолжительным произведением искусства, демонстрирующим, как много цифрового наблюдения раскрывает нашу жизнь и как трудно этого избежать. Обычный человек не должен идти на такие навязчивые меры, чтобы гарантировать, что его личность или другая информация, которую он хочет сохранить в тайне, останется конфиденциальной. Нам нужна честная игра. Пока политики обдумывают, как могут измениться правила, Билль о правах потребителей, разработанный нами в администрации Обамы, обрел новую жизнь в качестве модели. The Los Angeles Times, The Economist и The New York Times указывали на этот билль о правах, призывая Конгресс принять всеобъемлющее законодательство о конфиденциальности, а последняя заявила, что «нет необходимости начинать с нуля…». Наше предложение 2012 года нуждается в адаптации. к изменениям в технологиях и политике, но он обеспечивает отправную точку для сегодняшних политических дискуссий из-за широкого вклада, который он получил, и широко признанных принципов, на которых он основывался. Билль о правах сформулировал семь основных принципов, которые должны быть юридически закреплены Федеральной торговой комиссией: индивидуальный контроль, прозрачность, уважение контекста, в котором были получены данные, доступ и точность, целенаправленный сбор, безопасность и подотчетность. Эти общие принципы основаны на давних и общепризнанных «принципах добросовестной информационной практики». Тем не менее, чтобы отразить сегодняшний мир миллиардов устройств, соединенных через сети повсюду, они предназначены для перехода от статических уведомлений о конфиденциальности и форм согласия к более динамичной структуре, менее сосредоточенной на сборе и обработке и больше на том, как люди защищены способами их данные обрабатываются. Не чек-лист, а набор инструментов. Этот подход, основанный на принципах, должен был интерпретироваться и конкретизироваться посредством кодексов поведения и применения FTC в каждом конкретном случае — итеративная эволюция, во многом аналогичная развитию как общего права, так и информационных технологий. Пока политики обдумывают, как могут измениться правила, Билль о правах потребителей, разработанный администрацией Обамы, обрел новую жизнь в качестве модели. Билль о правах сформулировал семь основных принципов, которые должны быть юридически закреплены Федеральной торговой комиссией. Еще одна всеобъемлющая модель, которая привлекает внимание, — недавно вступивший в силу Общий регламент ЕС по защите данных. Для тех, кто занимается вопросами конфиденциальности, это был главный вопрос с тех пор, как он был одобрен два года назад, но даже в этом случае было поразительно слышать, как Марк Цукерберг упоминал «GDPR» как постоянную тему вопросов Конгресса. Неотвратимость этого закона, его применение к Facebook и многим другим американским многонациональным компаниям, а также его контраст с законодательством США сделали GDPR горячей темой. Многие люди задаются вопросом, почему в США нет аналогичного закона, а некоторые говорят, что США должны следовать модели ЕС. Я имел дело с законом ЕС, поскольку он был в форме проекта, в то время как я руководил взаимодействием правительства США с ЕС по вопросам конфиденциальности, параллельно разрабатывая наше собственное предложение. С тех пор его взаимодействие с законодательством и торговлей США стало частью моей жизни как чиновника, писателя и докладчика по вопросам конфиденциальности, а также юриста. В этом много хорошего, но это неподходящая модель для Америки. В GDPR много хорошего, но эта модель не подходит для Америки. Чем хорош закон ЕС? Прежде всего, это закон — единый свод правил, который применяется ко всем персональным данным в ЕС. Теоретически акцент компании на индивидуальных правах на данные ставит людей в центр практики конфиденциальности, а процесс соблюдения ее подробных требований вынуждает компании внимательно следить за тем, какие данные они собирают, для чего они их используют и как. они хранят его и делятся им, что оказалось непростой задачей. Хотя регулирование ЕС является жестким во многих отношениях, оно может быть более тонким, чем кажется на первый взгляд. В частности, его требование о том, чтобы согласие было явным и добровольным, часто представляется в сводных отчетах как запрещающий сбор любых личных данных без согласия; на самом деле, регулирование допускает другие основания для сбора данных, и одним из следствий строгого определения согласия является уделение большего внимания этим другим основаниям. Однако то, как будут действовать некоторые из этих тонкостей, будет зависеть от того, как 40 различных регулирующих органов по всему ЕС будут применять закон. Европейские правозащитные группы уже предъявляли иски против « les GAFAM ”(Google, Amazon, Facebook, Apple, Microsoft) после вступления в силу постановления. Закон ЕС основан на тех же принципах добросовестной информационной практики, что и Билль о правах потребителей. Но закон ЕС использует гораздо более предписывающий и ориентированный на процесс подход, разъясняя, как компании должны управлять конфиденциальностью и вести учет, включая «право на забвение» и другие требования, которые трудно согласовать с нашей Первой поправкой. Возможно, что более важно, он может оказаться непригодным для искусственного интеллекта и новых технологий, таких как автономные транспортные средства, которым необходимо агрегировать массу данных для машинного обучения и интеллектуальной инфраструктуры. Строгие ограничения на цели использования и хранения данных могут препятствовать аналитическим прорывам и новым выгодным видам использования информации. Правило, требующее объяснения человеком важных алгоритмических решений, прольет свет на алгоритмы и поможет предотвратить несправедливую дискриминацию, но также может сдержать развитие искусственного интеллекта. Эти положения отражают недоверие к технологиям, которое не является универсальным в Европе, но является сильным подтекстом ее политической культуры. Нам нужен американский ответ — подход, основанный на общем праве, адаптируемый к изменениям в технологиях, — чтобы сделать возможным использование знаний и инноваций на основе данных, а также установить барьеры для защиты конфиденциальности. Билль о правах потребителей на неприкосновенность частной жизни предлагает план такого подхода. Конечно, над этим нужно поработать, но в этом и состоит суть законотворчества. Например, его формулировка о прозрачности звучала слишком похоже на уведомление и согласие. Его предложение по конкретизации применения билля о правах имело смешанные результаты консенсуса в ходе судебных разбирательств, проводимых Министерством торговли. Он также сделал несколько важных вещей правильно. В частности, важным концептуальным скачком является принцип «уважения к контексту». В нем говорится, что люди «имеют право ожидать, что компании будут собирать, использовать и раскрывать личные данные способами, которые соответствуют контексту, в котором потребители предоставляют данные». Это отходит от формальностей уведомлений о конфиденциальности, полей согласия и структурированных данных и вместо этого фокусируется на уважении к личности. Его акцент на взаимодействии между человеком и компанией, а также на обстоятельствах сбора и использования данных проистекает из понимания мыслителя в области информационных технологий Хелен Ниссенбаум. Для оценки интересов конфиденциальности «крайне важно знать контекст — кто собирает информацию, кто ее анализирует, кто распространяет и кому, характер информации, отношения между различными сторонами и даже более крупные институциональные и социальные обстоятельства». Нам нужен американский ответ — подход, основанный на общем праве, адаптируемый к изменениям в технологиях, — чтобы обеспечить знания и инновации, основанные на данных, и установить барьеры для защиты конфиденциальности. Контекст сложен — в нашем законопроекте перечислено 11 различных неисключительных факторов для оценки контекста. Но на практике именно так мы делимся информацией и формируем ожидания о том, как эта информация будет обработана, и о нашем доверии к обработчику. Мы обнажаем наши души и наши тела совершенно незнакомым людям, чтобы получить медицинскую помощь, с пониманием того, что эта информация будет обработана с большой осторожностью и передана незнакомым людям только в той мере, в какой это необходимо для оказания помощи. Мы делимся информацией о местоположении с приложениями для совместного использования и навигации, понимая, что это позволяет им работать, но Waze столкнулся с сопротивлением, когда эта функция требовала настройки местоположения «всегда включено». Дэнни Вайцнер, соавтор Билля о правах на неприкосновенность частной жизни, недавно обсуждал, как соблюдение принципа контекста «запрещало бы [Cambridge Analytica] в одностороннем порядке использовать исследовательские данные в политических целях», поскольку он устанавливает право «не удивляться тому, как выданы персональные данные». Верховный суд 9Решение 0325 Carpenter открывает ожидания в отношении конфиденциальности информации, находящейся у третьих лиц, для вариаций в зависимости от контекста. Билль о правах потребителей на неприкосновенность частной жизни не содержит каких-либо подробных указаний относительно того, как принцип контекста и другие принципы должны применяться в конкретных обстоятельствах. Вместо этого предложение оставило такое применение на рассмотрение FTC в каждом конкретном случае и разработку лучших практик, стандартов и кодексов поведения организациями, не входящими в правительство, со стимулами для проверки их с FTC или использования внутренних контрольных советов, аналогичных к тем, которые используются для исследований человека в академических и медицинских учреждениях. Этот подход был основан на убеждении, что скорость технологических изменений и огромное разнообразие связанных с этим обстоятельств требуют более адаптивного принятия решений, чем позволяют современные подходы к законодательству и правительственным постановлениям. Возможно, что базовому законодательству потребуются более строгие мандаты для стандартов, чем предполагалось в Билле о правах потребителей на неприкосновенность частной жизни, но любые такие мандаты должны соответствовать глубоко укоренившемуся предпочтению добровольных, совместно разработанных и основанных на консенсусе стандартов, которое было отличительной чертой. разработки стандартов США. Оглядываясь назад, предложение может использовать путеводную звезду для руководства по применению своих принципов — простое золотое правило конфиденциальности: компании должны ставить интересы людей, о которых данные, выше своих собственных. В какой-то мере такое общее правило вернуло бы защиту частной жизни к основным принципам: некоторые из источников права, на которые ссылались Луи Брандейс и Сэмюэл Уоррен в своей знаменитой обзорной статье, представляли собой случаи, когда получение конфиденциальной информации или коммерческой тайны приводило к к судебному наложению траста или обязанности конфиденциальности. Выполнение функций доверительного управляющего влечет за собой обязательство действовать в интересах бенефициаров и избегать самодеятельности. Золотое правило конфиденциальности, включающее аналогичное обязательство для лица, которому доверена личная информация, основано на нескольких сходных направлениях дебатов о конфиденциальности. Политики конфиденциальности часто выражают намерение компаний «хорошо распоряжаться данными». хороший управитель также должен действовать в интересах принципала и избегать самодеятельности. Более современная параллель в обзоре права — это концепция профессора права Йельского университета Джека Балкина об «информационных фидуциариях», которая привлекла некоторое внимание во время слушаний по делу Цукерберга, когда сенатор Брайан Шац (D-HI) попросил Цукерберга прокомментировать ее. Золотое правило неприкосновенности частной жизни будет импортировать основную обязанность, не импортируя фидуциарное право целиком. Он также перекликается с принципами «уважения к личности», «благодеяния» и «справедливости» в этических стандартах исследований на людях, которые влияют на формирующиеся этические рамки конфиденциальности и использования данных. Еще одна нить появилась в деле 9 судьи Горсача.0325 Карпентер не согласен с защитой права собственности как основы для интересов конфиденциальности: он предположил, что передача кому-либо цифровой информации может быть современным эквивалентом «хранения» в соответствии с классическим законом о собственности, который налагает обязанности на хранителя. И это имеет некоторое сходство с концепцией «законного интереса» GDPR, которая разрешает обработку персональных данных на основе законного интереса обработчика, при условии, что этот интерес не перевешивается правами и интересами субъекта данных. Фундаментальная потребность в базовом законодательстве о конфиденциальности в Америке состоит в том, чтобы люди могли доверять тому, что данные о них будут использоваться, храниться и передаваться способами, которые соответствуют их интересам и обстоятельствам, в которых они были собраны. Это должно сохраняться независимо от того, как данные собираются, кто их получает или для чего они используются. Если это персональные данные, они должны иметь постоянную защиту. Фундаментальная потребность в базовом законодательстве о конфиденциальности в Америке состоит в том, чтобы гарантировать, что люди могут быть уверены в том, что данные о них будут использоваться, храниться и передаваться способами, которые соответствуют их интересам и обстоятельствам, в которых они были собраны. Такое доверие является важным строительным блоком устойчивого цифрового мира. Это то, что позволяет обмениваться данными для социально или экономически выгодных целей, не подвергая людей риску. К настоящему времени должно быть ясно, что доверие предают слишком часто, будь то преднамеренные актеры, такие как Cambridge Analytica или русские «Fancy Bears», или братья в кубах, которым внушают императив «развернуть или умереть». Доверие нуждается в более прочной основе, которая дает людям постоянную уверенность в том, что данные о них будут обрабатываться справедливо и в соответствии с их интересами. Базовые принципы послужат руководством для всех предприятий и защитят от злоупотреблений, выбросов и преступников. Они также расскажут миру, что американские компании связаны общепринятым набором принципов конфиденциальности и заложат основу для методов обеспечения конфиденциальности и безопасности, которые развиваются вместе с технологиями. Смирившиеся, но недовольные потребители говорят друг другу: «Я думаю, что мы играем в проигрышную игру». Если правила не изменятся, они могут прекратить играть. Brookings Institution — некоммерческая организация, занимающаяся независимыми исследованиями и политическими решениями. Его миссия состоит в том, чтобы проводить высококачественные независимые исследования и на основе этих исследований предоставлять новаторские практические рекомендации для политиков и общественности. Выводы и рекомендации любой публикации Brookings принадлежат исключительно ее автору (авторам) и не отражают точку зрения Учреждения, его руководства или других ученых. : Защита данных > Департамент международного права > OAS :: государств-членов OAS имели возможность выразить комментарии по проекту. Проект принципов и Рекомендации была сделана с участием Юридический комитет и Департамент модернизации. В проекте представлен краткий анализ различий защита данных в Европе, США и на латыни Америка. Европейский взгляд на право на неприкосновенность частной жизни охватывает каждый аспект жизни человека. Основываясь на этом широкий взгляд на право на неприкосновенность частной жизни, законодательство о конфиденциальности в Европе охватывает как обработку персональных данных государственные и частные организации. Система США предусматривает саморегулирование по отраслям личного данные обрабатываются частными организациями. Таким образом, отрасли в Соединенных Штатах в основном саморегулируются, в том числе большинство частных корпораций, предприятия по добыче данных, личные хранилища данных и социальные сети в Интернете сайты, в том числе. Наконец, в некоторых латиноамериканских страны следуют концепции Habeas Data, которая позволяет людям получить доступ к своим личным данным и дает им право на исправление недостоверной информации. В проекте представлен подробный отчет о принципах и рекомендации по защите данных , резюме ниже: Требования к обработке: Персональные данные должны быть обрабатываются в соответствии с правилами и применимыми закона, справедливо, для конкретной цели, ясно и законный; и ограничивается личной информацией, необходимой для достижения определенной цели. Обработка личных данные должны быть прозрачными. Цели обработки: Обработка личных данные физического лица разрешены договором соглашение, если это необходимо для выполнения возложенного на него обязательства государственным органом; или удерживается обработчиком данных, как государственное учреждение, в законном осуществлении своих орган власти. Обработчик данных Обязанности: Обработчик данных должен гарантировать, что все личные данные являются конфиденциальными, и это должны обеспечивать разумное техническое и организационное меры по обеспечению целостности персональных данных. процессор несет ответственность за принятие всех необходимых мер соблюдать этапы обработки персональных данных, установленные национальное законодательство и соответствующий орган. Сторонние процессоры: Лицо, владеющее персональные данные могут заключать контракт с третьей стороной для обработки такие личные данные, без такого трудоустройства считается раскрытие третьим лицам, если оригинал процессор гарантирует, что третья сторона предлагает как минимум тот же уровень защиты, требуемый национальным законодательством и соглашение сторон. Трансграничные переводы: Международные переводы персональные данные должны быть выполнены только в том случае, если получатель они предлагают тот же уровень защиты, используя следующие факторы: 1) характер данных, 2) страна дом, 3) страна-получатель, 4) цель данных обработки, 5) меры безопасности, установленные для международная обработка и перевод. Персональные данные могут быть переданы получателю, который не может предоставить то же самое уровень защиты персональных данных только при наличии договорное соглашение о том, что процесс передачи и соблюдение требуемый уровень защиты. Habeas Данные: Люди могут пользоваться правом доступ, исправление, изъятие и возражение против обработка персональных данных. Право доступа – это право физических лиц запрашивать и получать информацию о их личные данные, хранящиеся у обработчика данных. физическое лицо имеет право потребовать исправления или удаления данных, когда они являются неполными, неточными, ненужными или чрезмерный. Лицо может возражать против обработки персональных данных при наличии уважительной причины, в качестве необоснованный и существенный ущерб или дистресс для создания человек. Правоприменение: государств-членов OAS должны иметь органом-гарантом или независимым надзорным органом обеспечить соблюдение прав людей и предоставить судебная защита от нарушений и отказов процессора. Этот орган должен иметь технические возможности, самостоятельно достаточные и адекватные ресурсы для выполнения расследования и проверки для обеспечения правоприменения. Наконец, проект рекомендует активные меры и сотрудничество в области, посредством которой государства должны развивать учебные программы, образование и информирование общественности для содействия понимание законодательства, процедур и прав защита персональных данных; данные стандартные рабочие процедуры для контролеров данных для предотвращения, обнаружения и содержать потенциальные бреши в системе безопасности, а также способствовать сотрудничество между национальными органами, ответственными за защита персональных данных на национальном и международном уровнях содействовать защите. Американцы и конфиденциальность: обеспокоены, сбиты с толку и чувствуют отсутствие контроля над своей личной информацией . Это настолько распространенное состояние современной жизни, что примерно шесть из десяти взрослых американцев говорят, что не думают, что можно прожить повседневную жизнь без сбора данных о них компаниями или правительством. Продукты и услуги, основанные на данных, часто продаются с целью сэкономить время и деньги пользователей или даже привести к улучшению здоровья и благополучия. Тем не менее, значительная часть взрослых американцев не убеждена, что они получают выгоду от этой системы повсеместного сбора данных. Около 81% населения говорят, что потенциальные риски, с которыми они сталкиваются из-за сбора данных компаниями, перевешивают преимущества, и 66% говорят то же самое о сборе данных государством. В то же время большинство американцев обеспокоены тем, как их данные используются компаниями (79).%) или правительство (64%). Большинство также считают, что они практически не контролируют то, как эти организации используют их личную информацию, согласно новому опросу взрослых американцев, проведенному Pew Research Center, в котором изучается, как американцы относятся к состоянию конфиденциальности в стране. Обеспокоенность американцев по поводу цифровой конфиденциальности распространяется и на тех, кто собирает, хранит и использует их личную информацию. Кроме того, большинство населения не уверено в том, что корпорации хорошо распоряжаются данными, которые они собирают. Например, 79% американцев говорят, что они не слишком или совсем не уверены в том, что компании признают ошибки и возьмут на себя ответственность, если они неправомерно используют личную информацию или скомпрометируют ее, а 69% сообщают о таком же неуверенности в том, что фирмы будут использовать их личную информацию так, как они хотят. быть удобным с. Некоторые из вопросов этого опроса касаются общественного восприятия того, что «правительство» делает в отношении персональных данных. Например, респондентов спросили: «Насколько вам известно, какая часть того, что вы делаете в Интернете или на своем мобильном телефоне, отслеживается правительством?» Связанные вопросы были сосредоточены на отношении людей к данным, которые правительство собирает о них. Трудно определить, какой объем персональных данных собирает правительство и может получить к нему доступ через записи частных компаний. Административные правительственные учреждения, такие как IRS, Бюро переписи населения, Почтовая служба и отделы социального обеспечения, собирают различные личные данные о людях. Это включает информацию об их налогах и занятости, физические данные, если они получают государственное удостоверение личности, финансовое положение, если они получают льготы по программам социального обучения, жилья и трудоустройства, информацию о состоянии здоровья, если они участвуют в государственных программах медицинского страхования, адреса, домохозяйство. состав, собственность, если они владеют домами или автомобилями, и данные об образовании, например, если они получают студенческий кредит или стипендию. Этот список не является исчерпывающим. Кроме того, организации национальной безопасности, такие как Агентство национальной безопасности, имеют право отслеживать телефонный трафик и передвижения людей. С помощью повесток в суд или судебных постановлений и ордеров правоохранительные органы обычно могут получать доступ и отслеживать телефонные звонки людей и записи о трафике, медицинские записи (включая генетические записи), просмотр в Интернете и приложениях, поисковые запросы, тексты и электронные письма. Согласно «отчетам о прозрачности», опубликованным компаниями, действия пользователей в социальных сетях и их социальные сети, основанные на технологиях, по крайней мере, время от времени проверяются в ходе расследований. Важно отметить, что часто существуют ограничения на то, как государственные учреждения могут делиться своими знаниями с другими, в том числе с теми, кто находится в других частях правительства. Существует также коллективное мнение, что безопасность данных сегодня более неуловима, чем в прошлом. На вопрос, считают ли они свои личные данные менее безопасными, более безопасными или примерно такими же, как это было пять лет назад, 70% взрослых ответили, что их личные данные менее защищены. Только 6% сообщают, что считают, что их данные сегодня в большей безопасности, чем в прошлом. Но даже несмотря на то, что общественность выражает обеспокоенность по поводу различных аспектов своей цифровой конфиденциальности, многие американцы признают, что они не всегда усердно обращают внимание на политику конфиденциальности и условия обслуживания, с которыми они регулярно сталкиваются. Целых 97% американцев говорят, что их когда-либо просили одобрить политику конфиденциальности, но только каждый пятый взрослый в целом говорит, что они всегда (9%) или часто (13%) читают политику конфиденциальности компании, прежде чем согласиться с ней. Около 38% всех взрослых утверждают, что они иногда читают такие политики, но 36% говорят, что никогда не читают политику конфиденциальности компании, прежде чем согласиться с ней. Кроме того, практика чтения политик конфиденциальности не обязательно гарантирует тщательность. Среди взрослых, которые говорят, что когда-либо читали политики конфиденциальности, прежде чем согласиться с их условиями, только меньшинство — 22% — говорят, что прочитали их полностью, прежде чем согласиться с их условиями. Существует также общее непонимание законов о конфиденциальности данных среди широкой общественности: 63% американцев говорят, что они очень мало или вообще ничего не понимают в законах и правилах, которые в настоящее время действуют для защиты их конфиденциальности данных. Эти результаты указывают на общую настороженность в отношении состояния конфиденциальности в наши дни, но есть некоторые обстоятельства, когда общественность видит ценность в этом типе среды, управляемой данными. Например, многие взрослые говорят, что плохо работающие школы могут делиться данными о своих учениках с некоммерческой группой, стремящейся помочь улучшить результаты обучения, или для правительства собирать данные обо всех американцах, чтобы определить, кто может быть потенциальным террористом. Эти результаты получены в результате опроса 4272 взрослых жителей США, проведенного на панели американских тенденций Исследовательского центра Пью в период с 3 по 17 июня 2019 года.. Вот некоторые ключевые выводы: P актуальность отслеживания: 72% американцев сообщают, что все, почти все или большая часть того, что они делают в Интернете или при использовании мобильного телефона, отслеживается рекламодателями, технологические фирмы или другие компании. Еще 19% считают, что часть их действий отслеживается. Почти половина (47%) взрослых считают, что по крайней мере большая часть их действий в Интернете отслеживается правительством. Что касается их поведения в автономном режиме, например, где они находятся или с кем разговаривают, 69% считают, что компании отслеживают хотя бы часть этой активности. А 56% американцев считают, что правительство отслеживает хотя бы некоторые из их действий, например, с кем они разговаривают или где они находятся. Отсутствие контроля над личными данными: Примерно восемь из десяти или более взрослых американцев говорят, что они очень мало или совсем не контролируют данные, которые правительство (84%) или компании (81%) собирают о них. Когда речь идет о различных видах информации, изображение зависит от конкретного типа. Хотя относительно немногие американцы считают, что они имеют большой контроль над тем, кто имеет доступ ко всему, от их физического местоположения до их сообщений в социальных сетях, есть опыт, в котором некоторые американцы особенно чувствуют отсутствие контроля. Примерно половина американцев (48%) говорят, что у них нет контроля над тем, кто может получить доступ к используемым ими поисковым запросам, а 41% говорят то же самое о веб-сайтах, которые они посещают. Для сравнения, меньшая часть населения считает, что у них нет контроля над тем, кто может получить доступ к их физическому местоположению. Риски и выгоды от сбора данных и профилирования: 81% американцев считают, что потенциальные риски, связанные со сбором данных о них компаниями, перевешивают преимущества, и 66% говорят то же самое о сборе данных о них государством. Соответственно, 72% взрослых говорят, что лично они очень мало или совсем не получают пользы от сбора компанией данных о них, а 76% говорят то же самое о преимуществах, которые они могут получить от сбора государственных данных. Одной из целей сбора данных компаниями является профилирование клиентов и, возможно, ориентация на продажу им товаров и услуг на основе их характеристик и привычек. Этот опрос показал, что 77% американцев говорят, что слышали или хотя бы немного читали о том, как компании и другие организации используют личные данные, чтобы предлагать таргетированную рекламу или специальные предложения, или оценивать, насколько рискованными могут быть люди в качестве клиентов. Около 64% всех взрослых говорят, что видели рекламу или предложения, основанные на их личных данных. А 61% тех, кто видел рекламу, основанную на их личных данных, говорят, что реклама точно отражает их интересы и характеристики, по крайней мере, в некоторой степени хорошо. (Это составляет 39% всех взрослых.) Сбор данных и обмен ими для конкретных целей: Несмотря на их широкую озабоченность по поводу сбора и использования данных компаниями и правительством, множество взрослых американцев говорят, что некоторые способы использования данных приемлемы. Например, с разницей в 49% против 27% больше американцев считают приемлемым, чем неприемлемым, чтобы школы с низкими показателями делились данными о своих учениках с некоммерческой группой, стремящейся помочь улучшить результаты обучения. Точно так же 49% говорят, что правительство может собирать данные обо всех американцах, чтобы оценить, кто может представлять потенциальную террористическую угрозу. Это сопоставимо с 31%, которые считают неприемлемым собирать данные обо всех американцах для этой цели. С другой стороны, больше людей считают неприемлемым, чем приемлемым, для компаний социальных сетей отслеживать сообщения пользователей на наличие признаков депрессии, чтобы они могли выявлять людей, которые рискуют причинить себе вред, и направлять их к консультационным службам (45% против 0,5%). 27%). Та же картина возникает, когда речь идет о компаниях, которые производят умные колонки, передающие аудиозаписи клиентов правоохранительным органам, чтобы помочь в уголовных расследованиях: 49% говорят, что это неприемлемо, а 25% считают это приемлемым. Общественность разделилась более равномерно, когда речь заходит о приемлемости того, что производители приложений для отслеживания физической активности делятся пользовательскими данными с медицинскими исследователями, чтобы лучше понять связь между физическими упражнениями и сердечными заболеваниями. Беспокойство по поводу того, как используются данные: 79% взрослых утверждают, что они очень или в некоторой степени обеспокоены тем, как компании используют данные о них, которые они собирают, а 64% говорят, что они так же обеспокоены сбором государственных данных. Отдельно американцы имеют разные взгляды на то, какие группы беспокоят их при получении доступа к их данным: около четырех из десяти сильно обеспокоены личной информацией на сайтах социальных сетей (40%) или рекламодателями, которые могут знать о них (39%). ). Но только 9% американцев сильно беспокоятся об информации, которую могут знать их родственники и друзья, а 19% испытывают аналогичные опасения по поводу того, что могут знать их работодатели. Тем не менее, большинство американцев не уверены в том, как компании будут вести себя в отношении использования и защиты их личных данных. Примерно семь из десяти или более говорят, что они не слишком или совсем не уверены в том, что компании признают ошибки и возьмут на себя ответственность за неправильное использование или компрометацию данных (79). %), будут нести ответственность перед правительством, если они неправильно используют данные (75%), или будут использовать данные клиентов таким образом, чтобы люди чувствовали себя комфортно (69%). Когда дело доходит до использования данных для конкретных целей, американцы по-разному смотрят в зависимости от цели использования данных. Например, 57% взрослых говорят, что они очень или в некоторой степени довольны тем, что компании используют их личные данные, чтобы помочь компаниям улучшить свои системы предотвращения мошенничества. Но они поровну, когда речь идет об их комфорте с компаниями, использующими их личные данные при разработке новых продуктов. Около трети (36%) взрослых говорят, что им как минимум комфортно, когда компании делятся их личными данными с внешними группами, проводящими исследования, которые могут помочь им улучшить общество, но большая часть (64%) говорит, что им не нравится такая практика. . Непонимание: 78% взрослых американцев говорят, что они очень мало или совсем ничего не понимают в том, что правительство делает с данными, которые оно собирает, и 59% говорят то же самое о данных, которые собирают компании. Только 6% взрослых говорят, что они очень хорошо понимают, что компании делают с собранными данными, и такая же доля (4%) говорят, что они хорошо знают, что правительство делает с данными. Некоторые американцы также признаются, что им трудно понять законы о конфиденциальности, регулирующие использование их данных. Примерно шесть из десяти американцев (63%) говорят, что они очень плохо понимают законы и правила, которые в настоящее время действуют для защиты их частной жизни. Только 3% взрослых говорят, что хорошо понимают эти законы, а 33% говорят, что понимают. Как американцы обращаются с политикой конфиденциальности: Основные части существующей системы сбора данных и защиты конфиденциальности построены на идее, что потребители уведомляются о том, как фирмы собирают и используют данные, и запрашивают их согласие на использование их данных, которые путь. Целых 97% говорят, что их когда-либо просили одобрить политику конфиденциальности, но только каждый пятый взрослый в целом говорит, что всегда (9%) или часто (13%) читает эти политики. Около 38% взрослых американцев утверждают, что они иногда читают такие политики, а 36% говорят, что никогда не читают политику конфиденциальности компании, прежде чем согласиться с ней. В целом, около четырех из десяти взрослых говорят, что понимают политику конфиденциальности хорошо (8%) или немного (33%). В дополнение к упомянутым выше опасениям по поводу того, как компании обрабатывают персональные данные, большинство американцев (57%) говорят, что они не слишком уверены (40%) или совсем не уверены (17%) в том, что компании следуют своей политике конфиденциальности. они будут делать с личными данными пользователей. Несколько других ключевых результатов опроса: Примерно трое из десяти американцев (28%) говорят, что сталкивались по крайней мере с одним из трех видов серьезных проблем с кражей личных данных в течение предыдущих 12 месяцев на момент проведения опроса. : 21% сталкивались с мошенническими списаниями средств с их кредитной или дебетовой карты; у 8% кто-то завладел их учетными записями в социальных сетях или электронной почте без их разрешения; и у 6% кто-то пытался открыть кредитную линию или получить ссуду, используя их имя. Большинство взрослых жителей США (57%) говорят, что следят за новостями о конфиденциальности очень внимательно (11%) или отчасти внимательно (46%). Некоторые вопросы конфиденциальности различаются по возрасту: Люди разных возрастных групп по-разному относятся к некоторым ключевым вопросам конфиденциальности и слежки. Американцы в возрасте 65 лет и старше с меньшей вероятностью, чем люди в возрасте от 18 до 29 лет, считают, что они контролируют, кто может получить доступ к таким вещам, как их физическое местоположение, покупки, сделанные как онлайн, так и офлайн, и их личные разговоры. В то же время пожилые американцы с меньшей вероятностью думают, что они получают пользу от сбора данных: всего 17% из тех, кому 65 лет и старше, считают, что они получают пользу от данных, которые правительство собирает о них, и только 19% думают так же о данных, собранных компаниями. Существуют также возрастные различия в том, как данные используются после их получения. Американцы в возрасте 65 лет и старше чаще, чем молодые люди, говорят, что правоохранительные органы могут использовать генетические данные клиентов для раскрытия преступлений, одобрять сбор данных для оценки террористических угроз и заставлять производителей умных динамиков делиться аудиозаписями пользователей в ходе расследований. . Напротив, молодые люди в возрасте от 18 до 29 лет с большей вероятностью, чем пожилые люди, сочтут приемлемой идею о том, что компании, работающие в социальных сетях, следят за пользователями на предмет признаков депрессии и разрешают передавать данные отслеживания физической активности медицинским исследователям. Кроме того, две трети взрослых в возрасте 65 лет и старше говорят, что они хотя бы немного внимательно следят за новостями о конфиденциальности, по сравнению с 45% людей в возрасте от 18 до 29 лет, которые делают то же самое. Существуют различия в зависимости от расы и этнического происхождения в некоторых вопросах конфиденциальности: Чернокожие американцы чаще, чем белые американцы, говорят, что они считают, что правительство отслеживает все или большую часть того, что они делают в Интернете или на своем мобильном телефоне (60% против 43). %). Аналогичные пробелы существуют и во мнениях об оффлайн-активностях: 47% взрослых чернокожих считают, что вся или большая часть их оффлайн-активностей отслеживается правительством, по сравнению с 19% взрослых.% белых взрослых. Кроме того, взрослые чернокожие и латиноамериканцы чаще, чем белые взрослые, говорят, что они в той или иной степени обеспокоены тем, что знают о них сотрудники правоохранительных органов, работодатели, члены семьи и друзья. Когда дело доходит до кражи личных данных, чернокожие взрослые (20 %) примерно в три раза чаще, чем их латиноамериканцы (7 %) или белые (6 %), говорят, что кто-то завладел их социальными сетями или электронной почтой в прошлый год. Чернокожие американцы также чаще, чем белые и латиноамериканцы, говорят, что кто-то пытался открыть кредитную линию или подал заявку на получение кредита, используя их имя, за последние 12 месяцев. В то же время белые взрослые также сообщают о меньшем контроле над несколькими типами информации по сравнению с черными и латиноамериканскими взрослыми. Например, 50% белых американцев считают, что они контролируют, кто может получить доступ к информации об их онлайн- и офлайн-покупках, по сравнению с 69% чернокожих взрослых и 66% взрослых латиноамериканцев. ИСПРАВЛЕНИЕ: На диаграмме «Большинство американцев считают, что они мало контролируют данные, собираемые о них компаниями и правительством», пояснительный текст к результатам, связанным с «Риски перевешивают преимущества», был расшифрован неправильно. Правильный текст: «Потенциальные риски ___ (компаний или правительства), собирающих данные о них, перевешивают преимущества». Реформирование подхода США к защите данных и конфиденциальности Введение Половина всех американцев считают, что их личная информация сейчас менее защищена, чем пять лет назад, и отрезвляющее исследование исследовательского центра Pew Research Center показывает, как мало общественность доверяет организациям, будь то правительственным или частным, для защиты своих данных — и не без оснований. В 2017 году произошла катастрофическая утечка данных в Equifax, признание Yahoo в том, что миллиарды ее учетных записей электронной почты были скомпрометированы, случайная утечка личных данных почти двухсот миллионов американских избирателей Deep Root Analytics и попытка Uber скрыть утечку, которая затронула пятьдесят семь миллионов аккаунтов. Люди не знают, какие действия они могут предпринять, чтобы защитить свои цифровые активы и личность. Нуала О’Коннор Тем не менее, рекордные утечки данных и неадекватные методы защиты данных привели лишь к фрагментарным законодательным ответам на федеральном уровне, конкурирующим законам штатов и множеству режимов правоприменения. Большинство западных стран уже приняли всестороннюю правовую защиту персональных данных, но Соединенные Штаты, где расположены одни из самых передовых и крупнейших технологических и информационных компаний в мире, продолжают продвигаться вперед с лоскутным одеялом отраслевых законов и правила, которые не обеспечивают надлежащей защиты данных. Граждане и компании США страдают от такого неравномерного подхода: граждане из-за того, что их данные не защищены должным образом, а компании из-за противоречивых, а иногда и конкурирующих требований. Конгрессу давно пора создать единый законодательный мандат по защите данных для защиты частной жизни людей и устранения различий между требованиями штата и федеральными требованиями. Лоскутное одеяло из существующих защит Подробнее о: Соединенные Штаты Цифровая политика Кибербезопасность Конфиденциальность Европейский Союз В Соединенных Штатах отсутствует единый всеобъемлющий федеральный закон, регулирующий сбор и использование личной информации. Вместо этого правительство подошло к конфиденциальности и безопасности, регулируя только определенные секторы и типы конфиденциальной информации (например, о здоровье и финансах), создавая дублирующие и противоречивые меры защиты. Правила, регулирующие информацию о здоровье, иллюстрируют эту проблему. Закон о переносимости и подотчетности медицинского страхования (HIPAA), основной закон США о конфиденциальности и безопасности здоровья, применяется только к «застрахованным организациям», владеющим «защищенной медицинской информацией». Федеральные регулирующие органы признают [PDF], что большинство американцев не понимают, когда их медицинская информация защищена законом, а когда нет, или какие стандарты безопасности применяются в обоих случаях. Отдельные законы о конфиденциальности регулируют определенные области системы здравоохранения США [PDF]: прививки учащихся и другие школьные медицинские записи обычно подпадают под действие Закона о правах семьи на образование и конфиденциальность (FERPA), который был принят в 1974, когда студенческие записи существовали в физических картотеках, а не в цифровых облаках. FERPA, в свою очередь, пересекается, а иногда и противоречит Закону о защите конфиденциальности детей в Интернете (COPPA), который защищает данные, но только детей в возрасте до тринадцати лет. Широко распространенный сбор личной информации ставит под угрозу конфиденциальность и безопасность [людей]. Законы штата дополняют эту путаницу, особенно в отношении утечек данных. Многие штаты признают, что широкомасштабный сбор личной информации [PDF] ставит под угрозу конфиденциальность и безопасность их жителей. Начиная с Калифорнии, где в 2003 году был принят первый закон об уведомлении об утечке данных, 48 штатов приняли законы, требующие уведомления отдельных лиц в случае компрометации их информации. Эти законы содержат разные и иногда несовместимые положения относительно того, какие категории и типы личной информации требуют защиты, на какие объекты распространяется действие и даже что представляет собой нарушение. Требования к уведомлению также различаются: в Нью-Джерси требуется, чтобы подразделение полиции штата по борьбе с киберпреступностью было уведомлено, в то время как в Мэриленде требуется, чтобы генеральный прокурор штата был уведомлен до того, как любое пострадавшее лицо будет уведомлено. Исполнение этих законов также сложно. В то время как генеральные прокуроры штатов играют важную роль, Федеральная торговая комиссия (FTC) считает себя «главным полицейским в вопросах конфиденциальности». FTC имеет общие полномочия запрещать «недобросовестную и вводящую в заблуждение торговую практику» в соответствии с разделом 5 Закона FTC и пыталась установить базовый уровень безопасности данных с помощью более шестидесяти различных правоприменительных мер. Тем не менее, компании начали агрессивно выступать против законных полномочий Федеральной торговой комиссии по контролю за безопасностью данных, и Федеральная торговая комиссия имеет ограниченную юрисдикцию в отношении банков, страховых компаний, некоммерческих организаций и даже некоторых интернет-провайдеров. Проблема предотвращения утечки данных и реагирования на нее Опытные специалисты по безопасности сообщают даже самым сложным организациям, что рано или поздно они столкнутся с утечкой данных. Даже организации с несколькими уровнями цифровой и физической безопасности уязвимы для постоянных угроз коммерческого и государственного вторжения, а также некомпетентных или намеренно злонамеренных инсайдеров. Идеальная безопасность невозможна, и информационные травмы, которые могут возникнуть в результате сбора и (неправильного) использования данных, постоянно развиваются. Подробнее: Соединенные Штаты Цифровая политика Кибербезопасность Конфиденциальность Европейский Союз В результате многие законодатели попытались отреагировать на взлом Equifax и аналогичные нарушения, пересмотрев правила уведомления об утечке данных. Члены Конгресса повторно вносят предложения по защите от утечки данных, и представители отрасли предполагают, что Соединенные Штаты, возможно, наконец достигли «переломного момента», который приведет к созданию единого национального стандарта уведомления об утечке данных. Законы об уведомлении о нарушениях. . . возложить бремя на лиц, чья информация была скомпрометирована. Это обычный рефрен после каждого громкого нарушения, но принятие законодательства о утечке данных, хотя и с благими намерениями, скорее всего, приведет к незначительному улучшению методов обеспечения безопасности данных. Хотя законы об уведомлении о нарушениях позорят компании, которые не сообщают о нарушениях, они в конечном итоге возлагают бремя на лиц, чья информация была скомпрометирована: им необходимо сохранять постоянную бдительность в отношении кражи личных данных и других видов мошенничества, некоторые из которых могут произойти спустя годы после первоначального инцидента. . Устранение противоречащих друг другу положений об уведомлении штатов на федеральном уровне при одновременном упрощении опыта как для потребителя, так и для учреждения не решает эту проблему. Компаниям нужны более четкие правила, а отдельные лица должны иметь возможность стимулировать компании к защите данных. Большинство утечек данных, даже с учетом затрат на раскрытие и реагирование и сопутствующий ущерб репутации, не приводят к значительному финансовому ущербу для компаний. Даже когда в дело вмешиваются регулирующие органы, такие как FTC, вероятность любого денежного штрафа невелика. Необходима более всеобъемлющая правовая база: такая, которая предлагает сочетание стимулов для улучшения методов обеспечения безопасности, раскрытия информации и индивидуальной защиты. На пути к базовому предложению по конфиденциальности и безопасности Экономика двадцать первого века будет подпитываться персональными данными. Но пока неясно, какие правила будут регулировать эту информацию, с кем будет делиться информация и какие меры защиты будут приняты. Базовый закон о защите данных обеспечит правовую основу для ответов на эти вопросы. Такое предложение не ново. FTC постоянно призывала [PDF] Конгресс принять гибкие и технологически нейтральные законы о конфиденциальности и безопасности, и почти шесть лет назад администрация Барака Обамы выдвинула проект своего Билля о правах потребителей на конфиденциальность, основанный на принципах справедливой информационной практики (FIPPs). ). FIPP обычно рассматриваются как процессы и процедуры, которые организации должны внедрять; Билль о правах на неприкосновенность частной жизни признал, что отдельные американцы постоянно заинтересованы в том, как информация о них собирается, используется и передается как компаниями, так и государственными учреждениями. Права, предложенные администрацией Обамы, были широко поддержаны правозащитным сообществом и гражданским обществом. Однако предложение администрации Обамы стало жертвой неудачного выбора времени и потеряло импульс. Влюбленная в Силиконовую долину, администрация в значительной степени позволила отрасли выработать свои собственные правила, и законопроект был незаметно выдвинут всего через три года после первоначального предложения. С тех пор методы работы с данными во всех секторах промышленности по-прежнему не соответствуют индивидуальным ожиданиям в отношении конфиденциальности и безопасности. Неспособность законодателей предоставить пользователям набор прав на неприкосновенность частной жизни сделала Соединенные Штаты глобальным исключением. Администрация Дональда Дж. Трампа, похоже, не проявляет особого интереса к технологической политике или правовому регулированию в целом, а продолжающаяся неспособность законодателей предоставить пользователям набор прав на неприкосновенность частной жизни также сделала Соединенные Штаты глобальным исключением. В то время как правовая база США в отношении персональных данных не претерпела существенных изменений за несколько десятилетий, Европейский Союз принял несколько директив о защите данных. С пересмотренным Общим регламентом по защите данных (GDPR) Европейский Союз стал центром глобального диалога о конфиденциальности личных данных. В отличие от законодательства США, законодательство ЕС защищает все личные данные, независимо от того, кто их собирает и как они обрабатываются. Другие страны с развитой экономикой, такие как Канада, Израиль и Япония, развернулись к созданию режимов конфиденциальности, совместимых с GDPR ЕС, а не с лоскутным подходом США. Это ставит американские компании в невыгодное положение в глобальном масштабе, поскольку страны с формирующейся рыночной экономикой применяют более простые и часто более подходы, характерные для ЕС, всеобъемлющие подходы. Рекомендации Конгресс США должен присоединиться к другим странам с развитой экономикой в их подходе к защите данных, создав единую комплексную систему защиты данных. Значимые федеральные законы и постановления должны быть направлены на устранение различий между существующими законными правами и обязанностями на федеральном уровне и уровне штата. Это не только упростит соблюдение требований для американских компаний, но также укрепит и приведет Соединенные Штаты в соответствие с новыми нормами защиты данных. Конгресс мог бы внедрить эффективный базовый режим конфиденциальности, по крайней мере, со следующими четырьмя качествами. Во-первых, закон должен распространяться на все институты, а не только на технологические компании, кредитно-рейтинговые агентства и другие узкие секторы экономики. Защита данных является не только частью корпоративной социальной ответственности в цифровую эпоху, но и институциональным риском, и важной функцией соблюдения требований для любой организации, которая собирает, использует или передает личную информацию или другие потенциально конфиденциальные данные потребителей. Во-вторых, закон должен гармонизировать несоответствия и заполнить пробелы, созданные существующим отраслевым подходом. Медицинская информация является конфиденциальной независимо от того, вводится ли она в пользовательское приложение, генерируется носимым устройством или передается медицинскому работнику. Базовый закон о конфиденциальности мог бы устранить противоречивые требования согласия, прав доступа и защиты информации о здоровье, которые существуют, например, между HIPAA, FERPA и COPPA и за их пределами. Стимулы для компаний по защите данных должны быть направлены на предотвращение, а не самобичевание раскрытия информации. В-третьих, стимулы для компаний по защите данных должны быть направлены на предотвращение, а не самобичевание раскрытия информации. Раскрытие информации постфактум помогает только юридическим и комплаенс-индустриям, возникшим в результате недавних нарушений. К тому времени, когда нарушение будет раскрыто, ущерб может быть уже нанесен сотням тысяч, если не миллионам, людей. Компании должны предлагать простые в использовании механизмы индивидуального доступа, исправления и удаления данных пользователей, а также документированные оценки рисков и другие требования соответствия, которые оставляют бумажный след. Когда эти механизмы подкреплены силой закона, компании уведомляются о том, что им необходимо уделять первоочередное внимание безопасности данных, что, в свою очередь, дает специалистам по конфиденциальности и безопасности, а также защитникам прав потребителей больше рычагов для продвижения лучших отраслевых практик. Если Соединенные Штаты введут значительные штрафы за несоблюдение GDPR в Европейском союзе, корпоративная практика может быть изменена не только для крупных технологических компаний, но также для малых и средних предприятий и некоммерческих организаций. В-четвертых, правовая база США должна признавать и обеспечивать механизмы для устранения вреда, причиняемого нарушением конфиденциальности. Законодатели и суды признают ущерб от нарушений, но определение «ущерб конфиденциальности» следует расширить. Кража личных данных — один из таких вредов, но также и неудобства, от которых страдают пострадавшие люди, и их мучительное чувство, что они не контролируют свое «цифровое я». Этот менее поддающийся количественной оценке вред, который возникает в результате разоблачения битов и байтов личной жизни людей, должен быть признан законом: поскольку глубина этого вреда раскрывается и устраняется с течением времени, людям должно быть предоставлено право частных действий для привлечения компаний к ответственности. , а регулирующие органы должны иметь возможность наказывать организации, которые пренебрегают своими обязанностями по ответственному хранению личной информации. Джек Балкин, директор проекта «Информационное общество» Йельской школы права, предложил рассматривать компании как «информационных фидуциаров» и предложил грандиозную сделку, которая расширила бы обязанность заботиться о личной информации в обмен на юридическую определенность и безопасные гавани для промышленности. No related posts.

	GDPR	CCPA	КПРА	ВЦДПА	СРА
Несоответствие	Административные штрафы до 20 миллионов евро или 4% от общего годового оборота по всему миру за предыдущий финансовый год, в зависимости от того, что больше.	По искам, поданным AG, гражданско-правовые санкции в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. Бездействие со стороны потребителей в связи с нарушениями безопасности, установленный законом ущерб в размере не менее 100 и не более 750 долларов США на одного потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше.	Административные штрафы в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, возмещение установленного законом ущерба не менее 100 и не более 750 долларов США на потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше.	Если контролер или обработчик продолжает нарушать VCDPA после периода исправления или нарушает прямое письменное заявление, предоставленное Генеральному прокурору, Генеральный прокурор может инициировать действие от имени Содружества и может добиваться судебного запрета для пресечения любых нарушений VCDPA и гражданские штрафы в размере до 7500 долларов за каждое нарушение.	Для целей исполнительного производства, возбужденного генеральным прокурором или окружным прокурором, нарушение CPA представляет собой обманную торговую практику.

Положение о защите персональных данных клиентов (абонентов) в ООО «Новотелеком» — Электронный город

1. Термины и определения

2. Общие положения.

3. Состав персональных данных.

4. Цель обработки персональных данных.

5. Сбор, обработка и защита персональных данных.

6. Блокировка, обезличивание, уничтожение персональных данных

7. Передача и хранение персональных данных

8. Права оператора персональных данных

9. Права Клиента

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

Является ли изображение человека его персональными данными, и нужно ли получать разрешение на сбор таких данных?

Распространение персональных данных: новые правила

Закон о персональных данных – что изменится 15 ноября 2021 года?

Лучшие статьи раздела

Новые статьи на сайте

Политика конфиденциальности — Neuro.net

Федеральный закон РФ №152 «О защите персональных данных»

Законы США о конфиденциальности: полное руководство

Получите бесплатное базовое руководство по соблюдению и законодательству США по защите данных

Конфиденциальность и безопасность в Интернете: как это обеспечивается?

Интернет-безопасность и вводящая в заблуждение реклама: как они связаны?

GDPR и CCPA: как сравниваются законы о конфиденциальности США и ЕС?

GDPR и CCPA: чем они отличаются?

Законы США о конфиденциальности с вертикальной направленностью

Хронология закона США о конфиденциальности данных

Закон США о конфиденциальности от 1974 г.

Закон Грэмма-Лича-Блайли (GLBA)

Закон о защите конфиденциальности детей в Интернете (COPPA)

Закон США о конфиденциальности от 1974 г.

HIPAA

КОППА

ГЛБА

Новые законы штата США о конфиденциальности данных

Калифорния

Колорадо

Коннектикут

Мэриленд

Массачусетс

Нью-Йорк

Вирджиния

Сравнение законов штата США о конфиденциальности

Какие требования конфиденциальности применяются ко мне?

Часто задаваемые вопросы о конфиденциальности данных

В: Чем законы о конфиденциальности в США отличаются от европейских?

В: Каковы основные пункты федеральных законов США и законов штата о конфиденциальности?

В: Каковы последствия нарушения законов США о конфиденциальности?

Будущее законов о конфиденциальности данных

Дэвид Харрингтон

Продолжайте читать

Сравнительные таблицы законов США о конфиденциальности данных на уровне штатов

КРАТКОЕ ОПИСАНИЕ

Каковы основы?

GDPR

CCPA

CPRA

VCDPA

CPA

Загрузить полную таблицу

Кто должен соблюдать каждый закон о конфиденциальности данных?

GDPR

CCPA

CPRA

VCDPA

CPA

Отчет CFIUS предлагает ценные уроки для иностранных инвесторов

Федеральный апелляционный суд оставил в силе закон Техаса о социальных сетях (2)

Документы Трампа будут рассмотрены уходящим в отставку судьей, заявил суд

Почему сегодня защита конфиденциальности — проигрышная игра, и как изменить игру

: Защита данных > Департамент международного права > OAS ::

Реформирование подхода США к защите данных и конфиденциальности

Добавить комментарий Отменить ответ

`Добавить комментарий Отменить ответ`