Закон об обработке персональных данных 2020: Что меняется в обработке персональных данных с 1 сентября 2022 года — Контур.Экстерн

Разное 

«Декларация.Онлайн» — Политика обработки персональных данных

1. Общие положения

1.1. Настоящая Политика ЗАО «ТаксНет» в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных (далее – Политика)разработана в целях соблюдения законодательства в области защиты персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых ЗАО «ТаксНет».

1.2. Настоящая Политика действует в отношении информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3. Политика действует бессрочно после утверждения единоличным исполнительным органом ЗАО «ТаксНет» и подлежит изменению в случае появления новых законодательных актов и специальных нормативных документов, касающихся обработки персональных данных.

1.4. Перечень действий с персональными данными, общее описание используемых способов обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети (информация доступна лишь для строго определенных сотрудников ЗАО «ТаксНет»).

2. Основные понятия

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор — ЗАО «ТаксНет», организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Условия обработки персональных данных

3.1. Обработка персональных данных осуществляется на законной основе, правовыми основаниями обработки являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
  • Федеральный закон от 07. 07.2003г. № 126-ФЗ «О связи»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации»;
  • Устав ЗАО «ТаксНет»;
  • Регламент Удостоверяющего центра ЗАО «ТаксНет».

3.2. Категории персональных данных, обрабатываемых ЗАО «ТаксНет»: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, ИНН, паспортные данные, пенсионное удостоверение, страховое свидетельство, гражданство,а также фотографии и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте.

3.3. Категории субъектов персональных данных: работники (субъекты), находящиеся в трудовых отношениях с ЗАО «ТаксНет», контрагенты.

4. Право субъекта персональных данных на доступ к его персональным данным

4. 1. Субъект персональных данных имеет право на получение следующих сведений:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

4.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.3. Указанные в пункте 1 настоящего Порядка сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4.4. Указанные в пункте 1 настоящего Порядка сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4.5. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 настоящего Порядка сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

4.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5 настоящего Порядка. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

4.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

5. Меры, применяемые для защиты персональных данных

5.1. ЗАО «ТаксНет» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов.
К таким мерам, в частности, ЗАО «ТаксНет» относит:

  • назначение сотрудника, ответственного за организацию обработки персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27. 07.2006г. № 152-ФЗ «О персональных данных»;
  • ознакомление работников ЗАО «ТаксНет», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику ЗАО «ТаксНет» в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных ЗАО «ТаксНет»;
  • применение прошедшей в установленном порядке процедуры оценки соответствия средств защиты информации;
  • систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • осуществление учета машинных носителей персональных данных;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
  • контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнями защищенности информационных систем персональных данных.

6. Методы защиты персональных данных

6.1. Методами защиты персональных данных являются:

  • реализация разрешительной системы допуска к обработке персональных данных;
  • ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
  • разграничение доступа к персональным данным;
  • регистрация действий сотрудников, контроль несанкционированного доступа к персональным данным;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • резервное копирование информации для возможности восстановления;
  • использование защищенных каналов связи.

Новые правила распространение персональных данных

С 1 марта вступает в силу Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», устанавливающий новые правила распространения (раскрытия неопределенному кругу лиц) персональных данных и обработки персональных данных из открытых источников.

Новые правила особенно затрагивают операторов онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц, а также операторов, использующим в своей деятельности данные из открытых источников (СМИ, компании, использующим системы мониторинга поведения в Интернете).

1. Новая терминология

Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исключено и введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения».

2. Введена обязанность получать отдельные и более конкретизированные согласия на обработку ПД

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – «согласие на распространение»), должно быть оформлено отдельно от иных согласий субъекта персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение. Молчание или бездействие гражданина не может считаться согласием.

Согласие на распространение может быть предоставлено оператору непосредственно или с использованием специальной информационной системы Роскомнадзора (она еще не функционирует).

Формулировки согласия должны прямо и недвусмысленно разрешать распространение персональных данных, при этом должен быть указан четкий перечень персональных данных, в отношении которых разрешено распространение. Неоднозначные и неясные формулировки будут трактоваться в пользу субъекта персональных данных.

В согласии на распространение могут быть установлены запреты на передачу (кроме предоставления доступа) персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц.

Установленные субъектом персональных данных запреты / условия обработки не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Операторы обязаны в срок не позднее 3 рабочих дней с момента получения согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

3. Введена обязанность каждого оператора доказать законность обработки персональных данных из открытых источников

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, а также в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

До обработки персональных данных из открытых источников будет необходимо убедиться в наличии согласия субъекта персональных данных на распространение его персональных данных оператором, раскрывшим персональные данные, и проверить наличие условий/ограничений на обработку данных другими операторами.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена оператором в любое время по требованию субъекта персональных данных. Субъект персональных данных вправе обратиться с аналогичным требованием к любому лицу, обрабатывающему его персональные данные в нарушение новых правил, или в суд.

Закон: Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»

Защита данных и конфиденциальность в США в 2020 году

Общий регламент ЕС по защите данных (GDPR) вступил в силу 25 мая 2018 года. Вскоре после этого органы ЕС по защите данных получили более 95 000 жалоб от граждан. Потребители из ЕС стали более охотно заключать сделки с предприятиями из ЕС, потому что у них есть законные средства для обеспечения соблюдения своих прав на неприкосновенность частной жизни. Таким образом, усиленная защита конфиденциальности, обеспечиваемая GDPR, приносит пользу как потребителям, так и предприятиям в ЕС. (Чтобы узнать больше о GDPR, см. GDPR: Знаете ли вы, должна ли ваша организация соответствовать требованиям?)

Реклама

США по-прежнему отстают от ЕС в отношении защиты конфиденциальности. Несмотря на несколько федеральных законов о конфиденциальности, охватывающих определенные отрасли промышленности, и ряд законов штата о конфиденциальности, в США нет федерального закона о конфиденциальности, который бы обеспечивал потребителям надежную защиту конфиденциальности на всей территории страны. Это угрожает экономическому развитию экономики США, которая является крупнейшей в мире.

В этой статье мы рассмотрим ряд недавних событий, указывающих на то, что США вскоре могут принять федеральный закон о конфиденциальности потребителей, и предложим наши прогнозы относительно характера нового закона. В конце статьи делается вывод.

Реклама

Обзор изменений в области конфиденциальности в США

2018

В апреле 2018 года The Guardian объявила, что консалтинговая компания Cambridge Analytica собрала и использовала данные примерно 87 миллионов профилей Facebook без согласия соответствующих пользователей. Большинство из них (70 миллионов) базировались в США. Чтобы собрать такой огромный объем данных, Cambridge Analytica использовала приложение под названием thisisyourdigitallife.

Бывший представитель Cambridge Analytica (Кристофер Уайли) заявил по поводу утечки данных: «Мы использовали Facebook для сбора профилей миллионов людей. И построили модели, чтобы использовать то, что мы знали о них, и нацеливаться на их внутренних демонов. На этой основе строилась вся компания». Нарушение данных привело к серьезной публичной критике Facebook. Около трех четвертей домохозяйств в США, использующих Интернет, обеспокоены рисками для конфиденциальности и безопасности. Вскоре после того, как нарушение было обнаружено, Марку Цукербергу, генеральному директору Facebook, было предложено дать показания перед Конгрессом США.

В июле 2018 года Белый дом сообщил, что намерен работать с Конгрессом над «политикой защиты конфиденциальности потребителей, которая представляет собой надлежащий баланс между конфиденциальностью и процветанием». Совет индустрии информационных технологий, организация, представляющая крупные технологические компании, высоко оценил усилия Белого дома и подчеркнул, что у Соединенных Штатов есть возможность создать новую парадигму конфиденциальности для цифровой экономики и избежать нынешних лоскутных законов о конфиденциальности.

Закон о прозрачности информации и контроле личных данных и Закон об уходе за данными

В 2018 году сенаторы США предложили как минимум два законопроекта о защите данных. Во-первых, в сентябре 2018 года конгрессмен Сьюзан ДельБен представила законопроект под названием «Закон о прозрачности информации и контроле личных данных». Он налагает на компании различные требования в отношении конфиденциальности, включая, помимо прочего, (i) требования о предоставлении потребителям политики конфиденциальности на «простом английском языке» и (ii) требования о получении согласия потребителей перед обработкой их личной информации. Законопроект был повторно внесен в 2019 году..

Реклама

Во-вторых, в декабре 2018 года группа из 15 сенаторов США представила Закон об уходе за данными. В случае принятия Закон потребует от компаний, собирающих персональные данные пользователей, принятия разумных мер для их защиты. Брайан Шац, сенатор США, который выступил автором законопроекта, объяснил суть закона следующим образом:

«Люди ожидают, что личная информация, которую они предоставляют веб-сайтам и приложениям, хорошо защищена и не будет использоваться. против них.»

2019

В 2019 году Сенат США представил новую версию Закона об обслуживании данных (также известного как Закон об обслуживании данных 2019 года). Он обязывает поставщиков онлайн-услуг (i) защищать личные данные от несанкционированного доступа, (ii) воздерживаться от использования личных данных таким образом, который может нанести вред конечным пользователям, и (iii) избегать раскрытия личных данных третьей стороне, если только эта третья сторона не связан обязательствами, установленными Законом.

Закон о правах потребителей на неприкосновенность частной жизни в Интернете, часть

3 декабря 2019 года сенатор Мария Кантуэлл [D-WA] представила Конгрессу США Закон о правах потребителей на конфиденциальность в Интернете (COPRA). Его цель — регулировать обработку информации, которая может идентифицировать человека, проживающего в США, или может быть разумно связана с потребительским устройством. Он освобождает некоторые малые предприятия от обязанности соблюдать Закон.

COPRA требует от организаций, на которые распространяются требования:

  1. Получить согласие субъектов данных перед обработкой их персональных данных.
  2. Используйте данные только для определенных целей.
  3. Принять разумные меры информационной безопасности для защиты данных.
  4. Предоставлять субъектам данных (по их запросу) свои персональные данные.

Разрешить субъектам данных изменять и удалять свои данные. В случаях, когда данные, подлежащие обработке, являются конфиденциальными персональными данными, согласие должно быть в форме явного положительного согласия. CORPA реализует принцип прозрачности обработки данных, что означает, что подпадающие под действие организации должны публиковать политики конфиденциальности, соответствующие определенным требованиям.

Как выглядит защита данных и конфиденциальность в 2020 году?

Закон о защите данных от 2020 г.

13 февраля 2020 г. сенатор Кирстен Гиллибранд (штат Нью-Йорк) представила Закон о защите данных от 2020 г. В случае принятия законопроект приведет к созданию федерального агентства по защите данных. который будет отвечать за рассмотрение жалоб потребителей, связанных с конфиденциальностью.

Кроме того, агентство сможет объявлять действия, нарушающие частную жизнь, вводящими в заблуждение или несправедливыми. Новый орган по надзору за конфиденциальностью сможет возбуждать гражданские иски против нарушителей законов о конфиденциальности и даже сможет налагать на них штрафы в размере до 1 миллиона долларов США в день. Законопроект подвергается критике за предоставление слишком большой свободы действий исполнительной власти.

Мишель Ричардсон из Центра демократии и технологий предупредила, что могут пройти годы, пока мы не поймем, окажет ли режим, установленный законопроектом, сколько-нибудь значимое влияние на поведение корпораций.

Закон о конфиденциальности и безопасности данных потребителей от 2020 г.

12 марта 2020 г. сенатор Джерри Моран [R-KS] представил Закон о конфиденциальности и безопасности данных потребителей от 2020 г. (CDPSA). Закон объединяет другие части предлагаемого законодательства с целью создания федеральной базы конфиденциальности.

CDPSA предоставляет физическим лицам права, аналогичные правам, предусмотренным Калифорнийским законом о конфиденциальности потребителей (CCPA) и GDPR. За некоторыми исключениями, эти права превалируют над другими законами штата и федеральными законами. CDPSA не создает новое федеральное агентство по защите данных. Вместо этого он назначил Федеральную торговую комиссию (FTC) федеральным агентством, отвечающим за администрирование CDPSA.

CDPSA признает два типа согласия, а именно, подразумеваемое согласие и выраженное утвердительное согласие. Согласие второго типа требуется только в случаях сбора и обработки конфиденциальных персональных данных и в случаях, когда раскрытие персональных данных третьей стороне не подпадает под одну или несколько допустимых целей, которые четко указаны CDPSA.

Важной особенностью CDPSA является то, что он освобождает определенные малые предприятия от ряда обязательств по соблюдению требований, тем самым снижая нагрузку на такие предприятия. К освобожденным обязательствам относятся, например, право субъекта данных на доступ к своим личным данным и право субъекта данных на исправление своих личных данных.

CDPSA определяет термин «малый бизнес» как любую застрахованную организацию или поставщика услуг, который в совокупности соответствует двум условиям.

Первое условие CDPSA

Первое условие состоит в том, что за последний 6-месячный период в компании работает не более 500 сотрудников, а средняя валовая выручка за предыдущие 3 года составляет менее 50 миллионов долларов.

Второе условие CDPSA

Второе условие заключается в том, что застрахованная организация или поставщик услуг ежегодно собирает или обрабатывает персональные данные менее 1 миллиона человек; или конфиденциальные личные данные менее 100 000 человек.

Еще одна характеристика CDPSA заключается в том, что он не только требует от организаций, на которые распространяется действие, излагать свои политики простым для понимания языком (аналогично GDPR), но также требует, чтобы они делали общедоступными любые предыдущие версии своих политик конфиденциальности и предоставлять прямое уведомление о любых изменениях в их политике конфиденциальности.

Закон о защите данных потребителей в связи с COVID-19

Закон о защите данных потребителей в связи с COVID-19 был принят 7 мая 2020 года в результате различных предложений по использованию мобильных устройств и других сервисов мониторинга для отслеживания лиц, инфицированных COVID-19.. Закон применяется в основном к сбору информации о геолокации, близости и состоянии здоровья.

Такие данные могут обрабатываться только после предварительного уведомления субъекта данных и получения его явного согласия. Закон направлен на то, чтобы заполнить пробел в федеральном законодательстве, касающийся практики, связанной с COVID, например, ситуаций, когда работодатели измеряют температуру своих сотрудников или отслеживают их болезнь.

Спекуляции о характере нового закона

Принимая во внимание успех GDPR и тенденцию принятия отдельными штатами США законов, напоминающих GDPR, мы можем ожидать, что новый федеральный закон о конфиденциальности также будет следовать структуре GDPR.

Это означает, что компаниям, скорее всего, потребуется:

  • Собирать только те данные, которые строго необходимы для достижения законных целей.
  • Опубликовать комплексную политику конфиденциальности.
  • Убедитесь, что у них есть законные основания для обработки персональных данных потребителей.
  • Использовать персональные данные, полученные от потребителей, только для конкретных и ограниченных целей, о которых потребители осведомлены.
  • Убедитесь, что потребители могут легко управлять (например, получать доступ, редактировать и удалять) свои личные данные.
  • Принимать современные технологические и организационные меры для защиты персональных данных потребителей.
  • Сообщите об утечке персональных данных в компетентные органы по защите данных.
  • Хранить личные данные потребителей только в течение ограниченного периода времени.
  • Передавайте личные данные за пределы США только после принятия соответствующих мер безопасности.

Несоблюдение компанией требований нового закона может привести к крупным штрафам.

Мы можем ожидать, что новый закон учредит один или несколько федеральных органов по защите данных, которые будут нести ответственность за его соблюдение. Вступление в силу GDPR не привело к созданию новых органов по защите данных в ЕС, поскольку такие органы существовали еще до принятия GDPR.

Предыдущий закон ЕС о защите данных (Директива 95/46/EC) требовал, чтобы в каждой стране ЕС был один или несколько государственных органов, ответственных за соблюдение конфиденциальности. В настоящее время федеральные вопросы конфиденциальности входят в компетенцию Федеральной торговой комиссии (FTC), но сложная задача администрирования основного федерального закона о конфиденциальности потребителей, вероятно, потребует создания нового государственного органа. Организация может, например, называться Федеральной комиссией по конфиденциальности (FPC). (Подробнее о конфиденциальности см. в статье «10 цитат о конфиденциальности в сфере технологий, которые заставят вас задуматься».)

Заключительные мысли

Новый комплексный федеральный закон США о конфиденциальности может повысить доверие потребителей к электронной коммерции, тем самым еще больше ускорив ее рост. Кроме того, это может предотвратить фрагментацию регулирования, вызванную различными законами штатов о конфиденциальности, что, в свою очередь, может стать препятствием для торговли между штатами. Это связано с тем, что компаниям, базирующимся в одном штате США, необходимо будет нанять экспертов по конфиденциальности во многих других штатах США, чтобы обеспечить соблюдение применимых законов о конфиденциальности, и они понесут значительные расходы в связи с обеспечением такого соблюдения.

Поскольку это будет препятствовать развитию электронной коммерции, которая имеет первостепенное значение для современной экономики, маловероятно, что федеральные учреждения США допустят фрагментацию регулирования в области конфиденциальности в течение длительного времени. Кристин Уилсон, комиссар FTC, недавно подчеркнула необходимость принятия федерального закона о конфиденциальности, заявив: «Было бы невероятно полезно иметь федеральное законодательство о конфиденциальности, поскольку мы занимаемся этими новыми и невероятно сложными проблемами».

Однако, если новый закон регулирует вопросы конфиденциальности потребителей довольно свободно, он может принести больше вреда, чем пользы гражданам США. Это связано с тем, что он может иметь приоритет над некоторыми строгими законами штата о конфиденциальности, такими как Калифорнийский закон о конфиденциальности потребителей от 2018 года. Точно так же Федеральный закон США об арбитраже запрещает штатам регулировать арбитражные соглашения.

Опрос, проведенный Consilio, глобальной юридической фирмой, оказывающей юридические услуги и стратегический консалтинг, показал, что большинство юристов считают, что в 2020 году Соединенные Штаты примут федеральный закон о конфиденциальности9. 0003

Однако такие прогнозы кажутся чрезмерно оптимистичными, потому что, как указано выше, мы видим, что с 2018 года идет лавина предложений по федеральным законам о конфиденциальности, и ни одно из них еще не принято.

Реклама

Связанные термины
  • Общее положение о защите данных
  • Защита данных
  • Нарушение данных
  • Цифровая экономика
  • Политика конфиденциальности
  • Директива о защите данных
  • Конфиденциальность данных
  • Международная конфиденциальность
  • Конфиденциальность в Интернете
  • Обеспечение информации

Поделиться этой статьей

Закон о защите данных от 2020 г. | Bond Schoeneck & King PLLC

Закон о защите данных от 2020 года — это последний федеральный законопроект, направленный на вопросы конфиденциальности и безопасности персональных данных. Этот закон, представленный сенатором Кирстен Гиллибранд (штат Нью-Йорк), учреждает независимое федеральное агентство по защите данных, уполномоченное регулировать обработку персональных данных, например, путем обеспечения соблюдения определенных «федеральных законов о конфиденциальности».

Подобно Общему регламенту ЕС по защите данных (GDPR), в законопроекте признается, что «неприкосновенность частной жизни является важным фундаментальным правом личности», на которое «напрямую влияет сбор, хранение, использование и распространение персональных данных». В законопроекте также отмечается, что неограниченный сбор, раскрытие, обработка и неправомерное использование персональных данных (которые имеют широкое определение, аналогичное определению «персональных данных» в GDPR) ставят под угрозу «возможности для человека получить работу, страхование, кредит жилище и право на надлежащую правовую процедуру и другие средства правовой защиты». Сенатор Гиллибранд лично поддержал эти и другие опасения в недавней статье, заявив, что «[о]чевидно, что беззаконие в области конфиденциальности данных может привести к новым, неожиданным формам несправедливости».

Таким образом, законопроект предусматривает, что «[в] целях защиты частной жизни лиц Конгрессу необходимо и уместно регулировать сбор, обслуживание, использование, обработку, хранение и распространение информации». Законопроект направлен на достижение этих целей путем создания и предоставления конкретных полномочий независимому федеральному агентству по защите данных.

Конкретные полномочия включают, в частности, способность Агентства возбудить гражданский иск против «застрахованного лица» («любое лицо, которое собирает, обрабатывает или иным образом получает персональные данные, за исключением физического лица, обрабатывающего персональные данные в в ходе личной или домашней деятельности»), который нарушает определенный «Федеральный закон о конфиденциальности», и добиваться судебной защиты, включая гражданско-правовые денежные штрафы или средства правовой защиты по праву справедливости, включая судебный запрет за такие нарушения. Гражданские денежные штрафы за умышленное нарушение федерального закона о конфиденциальности могут достигать «1 000 000 долларов США за каждый день, в течение которого продолжается такое нарушение». Деньги, собранные Агентством в результате успешного правоприменения, должны быть внесены в «Фонд помощи» и предоставлены для компенсации лицам, «пострадавшим от действия или практики, за которые были наложены гражданско-правовые санкции».

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *