Закон персональные данные: Статья 3. Основные понятия, используемые в настоящем Федеральном законе \ КонсультантПлюс

Почему закон о персональных данных глубже, чем кажется / Хабр

Как должны храниться персональные данные, почему они попадают в сеть, и что с этим делать бизнесу. Как распределяются зоны ответственности и какие федеральные законы регламентируют действия операторов данных.

О чем 152-ФЗ

В России с 2007 года действует Федеральный Закон №152, в котором отражено большинство требований и предписаний, касающихся защиты персональных данных от использования третьими лицами. Закон регулярно дополняется, поэтому отвечает большинству тенденций.

25 мая 2022 года в первом чтении было одобрено сразу несколько поправок, направленных на ускорение подачи данных об утечках в органы власти и постоянное взаимодействие с ГосСОПКА.

152-ФЗ регламентирует отношения между оператором данных и пользователями. Операторами данных могут быть не только интернет-ресурсы, но и бумажные картотеки или периодические издания. Юридические или физические лица. Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно безошибочно идентифицировать человека. Например, одного ФИО для этого часто недостаточно, поскольку таких людей даже в одном городе может быть несколько. Хотя исключения и уникальные ФИО тоже бывают.

Какими бывают персональные данные

1. Общедоступные. Эти данные открыты неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ, либо на основании ФЗ: выписки из ЕГРЮЛ или ЕГРИП.
2. Биометрические. В эту группу попадает информация о биологических и физиологических особенностях, которые используются для идентификации. Отпечатки пальцев, даже образцы голоса и сканы сетчатки глаз.
3. Специальные. Сюда относятся не только данные, которые хранят карточки в поликлиниках. Это также информация о судимостях и прохождении воинской службы. Информация о расовой и национальной принадлежности, политических и религиозных взглядах.
4. Иные. Название группы достаточно общее, но это самая популярная категория персональных данных. Сюда относятся данные, которые не были упомянуты в других группах. Это ФИО, адрес, паспортные данные, электронная почта и мессенджеры, стаж работы — данные, полученные с согласия субъекта. Эти данные собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.

Тем не менее, не все связки персональных данных представляют одинаковую опасность для пользователей и ценность для злоумышленников. Например, слитые строки с электронными адресами и ФИО вряд ли можно радикально использовать против человека.

В мире социальных сетей и интернет-покупок персональные данные можно считать персональными лишь частично. С ними постоянно взаимодействуют различные сервисы, они обрабатываются и хранятся в самых разных условиях.

Данные часто становятся товаром для бесплатных VPN и спам-сервисов. На заседании от 25 мая также обратили внимание на компании, занятые передачей трансграничных ПДн, поэтому этот сектор в ближайшее время скорее всего ждут новые ограничения и новые санкции за несоблюдение мер безопасности.

Закон о персональных данных тесно связан с ФЗ-242, который предписывает операторам данных хранить их на территории страны. С отказом выполнять это требование был связан, например, уход LinkedIn в 2016 году.

Кого касается 152-ФЗ

Может показаться, что исполнять требования 152-ФЗ должны только банки и медицинские учреждения. То есть организации, работающие с целым набором документов и данных.

На самом деле, под действие закона попадают почти все информационные системы. Интернет-магазины, библиотеки, государственные учреждения, биллинговые системы, call-центры.

Многие компании воспринимают требования 152-ФЗ как ростовую фигуру, за которой может не стоять содержания. Кажется, что достаточно спросить пользователя, готов ли он записать данные в cookie, и все. Система действительно может так работать до первой утечки данных или до проверки регулятором.

Если говорить о технической защите персональных данных, то стоит обратиться к подзаконным актам 152-ФЗ — 1119 ПП, 21 Приказ ФСТЭК. В них прописаны меры обеспечения защиты персональных данных, в зависимости от характера данных.

Например, сервисам, которые обрабатывают специальные категории персональных данных >100000 пользователей необходимо соблюдать защитные меры второго уровня защищенности.

Для каждой системы должна быть разработана модель угроз. Несмотря на то, что применение криптографических средств защиты не является обязательным пунктом при защите персональных данных, они могут требоваться, если актуальны угрозы, связанные с перехватом персональных данных по каналам связи. Или когда из модели угроз требуется использовать криптографические средства для шифрования баз данных с персональными данными.

Почему персональные данные попадают в сеть

Причин, почему персональные данные оказываются в открытом доступе, достаточно много. Все инциденты можно локализовать на трех уровнях: на уровне персонала, приложения или инфраструктуры. Стоит заметить, что 152-ФЗ в меньшей степени сконцентрирован на действиях персонала, способствующих утечке ПДн. Его фокус направлен на то, как компании должны организовать работу с конкретным типом данных.

Уровень персонала

Все инциденты утечек данных тщательно расследуются с применением DLP-систем анализа трафика сотрудников. Всей правды мы никогда не узнаем, но, например, исследование RTM Group говорит, что чаще всего в утечках данных виноваты сотрудники салонов сотовой связи.

Правильнее читать эту новость в другом ключе.

Чаще всего в утечках данных виноваты не вредоносные программы или уязвимости в инфраструктуре, а персонал. Сотрудники часто раскрывают персональные данные случайно, когда общаются с конкурентами или коллегами с другим уровнем допуска.
В этом деле всегда есть место обычной халатности и незаблокированным экранам. Часто данные просто копируют и уносят на флешках, чтобы продать.

Бороться с такими преступлениями следует с помощью кадровой политики, постоянного обучения сотрудников и дифференцированной политике доступов к ПДн.

Уровень приложения

Утечка персональных данных может случиться на уровне приложения.

Само приложение может содержать массу уязвимостей, поэтому если утечка произошла на уровне приложения, то даже провайдер, который полностью выполняет обязательства 152-ФЗ на уровне инфраструктуры, не может на это повлиять, поскольку это находится не в его зоне ответственности. Например, для услуги выделенные серверы Selectel, схема ответственности выглядит следующим образом:

Уровень инфраструктуры

Если клиент размещает свои информационные системы/приложения с персональными данными у провайдера, то ему необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.

Стоит заметить, что выделенные серверы и облака проходят «раздельную» оценку эффективности принимаемых мер защиты персональных данных по 152-ФЗ. Например, в Selectel и облако, и выделенные серверы во всех дата-центрах на уровне инфраструктуры соответствуют 152-ФЗ и предоставляют защиту персональных данных до 3 уровня включительно (УЗ-3). При таком уровне защищенности возможно хранить, например, почти все персональные и медицинские данные до 100 000 субъектов.

С клиентской точки зрения, это решение не несет каких-либо дополнительных затрат, поскольку является особенностью инфраструктуры компании.

В России есть несколько специализированных центров, которые с равным успехом проводят мероприятия по оценке эффективности.

Процедура оценки эффективности принимаемых мер защиты предполагает проверку соответствия инфраструктуры провайдера на соответствие уровню защиты. Сам провайдер при этом не является оператором персональных данных для клиентов сервиса, который размещается в его инфраструктуре — только для самого сервиса. Процесс предполагает оценку как организационных (документация, приказы и т.п.), так и технических мер (настройка средств защиты и пр.).

С точки зрения бизнеса, следует еще на этапе выбора провайдера проверить наличие Акта оценки эффективности или Аттестата соответствия. Хорошо, если компания публично разместила его прямо на сайте.

Для клиентов, которые хотят построить систему с повышенными требованиями безопасности существует решение аттестованный сегмент ЦОД.

152-ФЗ как верхушка айсберга. Что еще можно сделать для безопасности данных

Аттестованный сегмент ЦОД — это не только соответствие Tier III. По факту это отдельные стойки, которые дополнительно оборудованы электронным замком со стороны холодного и горячего коридоров и дополнительными камерами. В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном. Таким образом достигается изоляция систем клиента от других клиентов и сетей Selectel. Доступ в это пространство имеют, как правило, только сотрудники, которые прошли обучение и получили согласование отдела клиентской безопасности.

Ключевая проблема, которую решает размещение в аттестованном сегменте ЦОД — потребность в полном контроле за безопасностью и аттестации своей системы для операторов данных.

Персональные данные останутся у владельцев

Председатель Государственной Думы Вячеслав Володин отметил, что сейчас при совершении покупок или оплате услуг у людей под разными предлогами собирают номера телефонов, адреса электронной почты и другие личные сведения — даже в тех случаях, когда предоставление такой информации не является обязательным. «Прежде всего это касается онлайн-магазинов. Принятие соответствующих поправок позволит дополнительно защитить права потребителей», — уточнил он.

В Госдуме отметили, что в ст.16 закона «О защите прав потребителей» также предложено закрепить перечень недопустимых условий договора. «К таким условиям могут быть отнесены, например, установление штрафных санкций для потребителя за отказ от исполнения договора, оказание дополнительных услуг за плату без согласия потребителя, ограничение права выбора способа и формы оплаты. Положения, устанавливающие перечень недопустимых условий договора, распространятся и на ранее заключенные договоры», — рассказали в ведомстве.

Старший юрисконсульт Linxdatacenter в Петербурге Алексей Юсупов отмечает, что предлагаемые законопроектом изменения отражают системное толкование принципов, заложенных законодателем в суть Закона РФ от 07.02.1992 №2300-1 «О защите прав потребителей» («Закон о защите прав потребителей»), Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» («Закон о персональных данных»).

«На фоне развивающегося тренда по повышению уровня регулирования и контроля за обработкой ПДн развитие положений «Закона о защите прав потребителей» в части предоставления потребителям дополнительных гарантий защиты прав и законных интересов выглядит вполне логичной мерой ввиду очевидного неравного положения потребителей в правоотношениях с иными субъектами предпринимательской деятельности», — считает юрист. По его словам, внесение прямого запрета на отказ от заключения, исполнения или расторжения сделки в связи с отказом потребителя предоставить свои персональные данные, за исключением случаев, когда предоставление таких данных необходимо для заключения или исполнения договора, не является по своей природе законодательной новеллой. «Ставить в зависимость заключение договора от приобретения потребителем дополнительных услуг и или совершения потребителем действий, не относящихся к сути заключаемого договора или его исполнению, нельзя было и до рассмотрения обсуждаемого законопроекта. Иными словами, такие положения закона существовали и ранее», — объясняет Алексей Юсупов. По его словам, в данном случае законодатель дублирует основные принципы и существующие нормы регулирования правоотношений с потребителями, устанавливая императивный запрет на сбор ПДн без прямого волеизъявления субъекта ПДн.

«Предлагаемые изменения по части запрета на отказ от заключения, исполнения или расторжения договора в связи с возможностью отказа потребителем предоставить свои персональные данные повлечет необходимость для коммерческих субъектов пересмотреть порядок сбора ПДн. Хозяйствующим субъектам придется комплексно пересмотреть подход к сбору ПДн, возможно произвести мероприятия по внеплановому аудиту ПДн, что определенно повлечет дополнительные расходы на контрольно-организационные процедуры», — пояснил юрист.

Владелец бизнес-школы Katkov.School, член Ассоциации юристов России Павел Катков отмечает, что проектируемые нормы до п.4 предлагаемой к принятию статьи представляют собой попытку собрать в один пакет нарушения, допускаемые в отношении потребителей. «И если ранее юристам надо было доказывать незаконность тех или иных норм, например о подсудности, то теперь их собрали в одном месте и прямо сказали: так нельзя», — уточняет он. По его словам, гораздо большие опасения вызывает п.4 проектируемой статьи, согласно которому «Продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем».

«На мой взгляд, исполнителю услуги виднее, когда ему нужны, а когда не нужны персональные данные и какие. Обязанность их предоставить может быть не предусмотрена законом — законом всего не предусмотришь. Из чего следует, что, если мне нужны персональные данные, но обязательность их предоставления не предусмотрена законом, я не могу их получить. Это неразумно», — считает юрист. По его словам, там есть оговорка про непосредственную связь с исполнением договора с потребителем. «Но теперь, например мне, как онлайн-школе, надо будет эту связь доказывать. Сделать это, впрочем, будет несложно: для оказания услуг EdTech-отрасли нам необходимо и имя, и телефон, и электронный адрес — посредством этих данных мы с ним общаемся, информируем о расписании, даём доступы к урокам, идентифицируем в информационных технологических системах», — говорит Павел Катков.

Президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов считает, что поправки не предполагают никаких изменений для добросовестных участников рынка. «Все они работают в строгом соответствии с требованиями закона «О защите персональных данных» и сведения о покупателе собирают исключительно для исполнения договора, что, собственно, прописано в поправках. Так, почта необходима для отправки электронного чека, а адрес покупатель сообщает только тогда, когда заказывает доставку домой, в других случаях он не требуется», — отмечает эксперт. По его словам, отчасти поправки могут стать хорошим барьером и защитить потребителей от недобросовестных игроков, владельцев ресурсов, которые под видом интернет-магазинов целенаправленно занимаются сбором персональных данных. «Речь идет о площадках, где потенциальный покупатель не может даже ознакомиться с каталогом товаров, пока не зарегистрируется, то есть не сообщит свои ПДн», — уточнил Артем Соколов.

Напомним, что в начале апреля группа депутатов и сенаторов внесла в Госдуму законопроект, ужесточающий требования к операторам персональных данных, которым в том числе предлагается установить прямой запрет на отказ гражданам в оказании услуг в случае, если человек не хочет оставлять свои персональные данные.

https://www.comnews.ru/content/219652/2022-04-07/2022-w14/operatorov-persdannykh-obyazhut-ne-obyazyvat

Павел Катков прямой конкуренции этого ПФЗ с законопроектом депутата Хинштейна не видит, так как в последнем основным предметом регулирования является трансграничная передача данных. «В любом случае, активность законодателя вызывает опасения за нашу молодую EdTech-отрасль: как бы ее не зарегулировали избыточно раньше времени. Если же цель — иностранные сервисы, то в эти правовые акты надо прямо вводить такую оговорку, а не ухудшать ситуацию для всех», — говорит он.

Артем Соколов из АКИТ также считает, что два законопроекта абсолютно не пересекаются.

Законы США о конфиденциальности данных в 2023 году [Руководство по законам о конфиденциальности в Интернете]

Cloudwards.net может получать небольшую комиссию с некоторых покупок, совершенных через наш сайт. Однако любые партнерские доходы не влияют на то, как мы оцениваем услуги.

Содержание

• Законы США о конфиденциальности данных: что это такое?
• Почему важны законы о конфиденциальности данных?
• Законы США о конфиденциальности данных по штатам
  • Закон Калифорнии о конфиденциальности потребителей (CCPA и CPRA)
  • Закон Вирджинии о защите данных потребителей (CDPA)
  • Закон о конфиденциальности штата Колорадо (ColoPA)
  • Закон штата Юта о конфиденциальности потребителей (UCPA)
  • Коннектикут (CTDPA)
• Федеральные законы о конфиденциальности данных
  • Закон о конфиденциальности от 1974 г. — Закон Лича-Блайли (GLBA)
  • Закон о достоверной кредитной отчетности (FCRA)
  • Закон о переносимости и подотчетности медицинского страхования (HIPAA)
  • Закон о правах семьи на образование и конфиденциальность (FERPA)
  • Закон о защите конфиденциальности детей в Интернете (COPPA)
  • Программное обеспечение для защиты конфиденциальности в Интернете
  • Заключительные мысли
  • Комментарии

  ↑

  США называют себя лидером свободного мира, поэтому было бы удивительно узнать, как мало они делают для защиты права своих граждан на неприкосновенность частной жизни. В этой статье вы ознакомитесь с законами США о конфиденциальности данных, в том числе федеральными законами и законами штатов, которые направлены на защиту прав граждан США на конфиденциальность данных.

  Александр Коховский (редактор) и Сэмюэл Чепмен (редактор)
  — Последнее обновление: 14 фев. 23 2023-02-14T17:49:06+00:00 Факты проверены

  Мы в Cloudwards часто осуждаем законы о конфиденциальности в США как некачественные, а иногда и активно вредные. Однако не все так плохо. В США — и в частности в некоторых штатах — есть несколько законов и правил, которые хорошо служат их гражданам. В этой статье будут рассмотрены законы США о защите данных, которые пытаются защитить данные американских граждан и пользователей служб, базирующихся в США.

  Ключевые выводы:

  • Законы о конфиденциальности данных регулируют сбор, обработку, использование, обработку и передачу личных данных человека.
  • Федеральные законы США мало что делают для защиты своих граждан от неправомерного использования их данных, за исключением особых ситуаций.
  • Калифорния первой приняла закон штата о конфиденциальности данных, созданный по образцу европейского GDPR.
  • Юта, Колорадо и Вирджиния также имеют законы, защищающие от неправомерного использования личной информации человека.

  Хотя США в некоторой степени защищают данные своих граждан от неправомерного использования компаниями и корпорациями, они также имеют одни из самых навязчивых законов о слежке в мире. Если вам интересно узнать о них, прочитайте наши статьи о Законе о патриотизме и Законе о свободе. Наша статья об интернет-цензуре также затрагивает эти темы.

  Несмотря на слежку со стороны правительства США, многие компании пользуются политикой невмешательства, принятой в США в отношении Интернета.

  К счастью, хотя в США нет федерального закона, регулирующего защиту данных в Интернете, штаты начали понимать это и ввели собственные законы, регулирующие обработку данных в Интернете. Читайте дальше, чтобы узнать, что это такое и какое будущее ждет ваши онлайн-данные.

  В июне 2022 года Комитет Палаты представителей США по энергетике и торговле проголосовал 53-2 против Американского закона о защите данных и конфиденциальности (ADPPA), который обеспечит федеральную защиту персональных данных. ADPPA все еще нужно пройти через Палату представителей и Сенат, а также заручиться поддержкой Белого дома. Мы будем обновлять эту статью дополнительной информацией по мере того, как закон будет проходить через судебный процесс в США.

  • 03.02.2023 Факты проверены

    Добавлена ​​карта, показывающая этапы принятия законов США о конфиденциальности по штатам.

  • 09.02.2023

    Добавлена ​​информация о законе Коннектикута о конфиденциальности данных.

  • обновлений

  • Хотя Конституция Соединенных Штатов не признает право на неприкосновенность частной жизни, Верховный суд постановил, что граждане США имеют имплицитное право на неприкосновенность частной жизни, вытекающее из некоторых поправок к Конституции.

  • Существует четыре случая, которые представляют собой вторжение в частную жизнь: необоснованное вторжение в личное пространство другого лица, присвоение его имени или изображения, публичное раскрытие интимных подробностей о человеке или представление человека в ложном свете.

  • Эти три права включают право запрашивать записи с учетом исключений из Закона о конфиденциальности; право требовать внесения изменений в записи, которые не являются точными, неуместными, своевременными или полными; и право на защиту от необоснованного вторжения в частную жизнь в результате сбора, хранения, использования и раскрытия личной информации.

  Законы США о конфиденциальности данных: что это такое?

  Законы о конфиденциальности данных регулируют, как компании и правительство обрабатывают данные своих пользователей и граждан соответственно. Эти законы служат для защиты личных данных людей от ненадлежащего обращения или использования в злонамеренных или хищнических целях.

  В некоторых случаях законы о защите данных могут предписывать компании запрашивать у своих пользователей явное разрешение на обработку их данных определенным образом. В других случаях они могут позволить пользователю получить доступ и просмотреть все данные, которые есть у компании или правительства, или даже запросить безвозвратное удаление этих данных.

  Это лишь некоторые из способов, которыми законы о защите данных могут обеспечить безопасность и конфиденциальность ваших конфиденциальных данных. В разных штатах США действуют разные законы о конфиденциальности данных, поэтому степень вашей безопасности будет зависеть от вашего местоположения, но в некоторых случаях эти законы имеют экстерриториальное действие.

  США против европейских законов о конфиденциальности данных

  Это относится к Общему регламенту ЕС по защите данных (GDPR). Если компания хочет работать в Европе или обслуживать граждан Европы, она должна соблюдать строгий кодекс GDPR, который сегодня мы считаем золотым стандартом защиты данных.

  GDPR является наиболее важным законом о конфиденциальности данных в Европе.

  Швейцария выходит за рамки даже этого уровня защиты, закрепляя конфиденциальность данных в своей конституции.

  Почему важны законы о конфиденциальности данных?

  Основная причина, по которой нам нужны законы о конфиденциальности, — это защита. Многие люди не заботятся о том, чтобы их личные данные были доступны для всеобщего обозрения, пока не стало слишком поздно. С другой стороны, некоторые люди могут думать, что их информация в безопасности, но утечка данных или неправильное обращение с данными могут иметь катастрофические последствия.

  Давайте рассмотрим конкретный пример. HIPAA (Закон о переносимости и подотчетности медицинского страхования) — это закон о конфиденциальности, который запрещает врачам делиться медицинскими данными своих пациентов.

  Закон о переносимости и подотчетности медицинского страхования был принят в 1996 году.

  Примеры нарушения HIPAA включают в себя все, от слежения за записями или отказа пациентов в доступе к их медицинским записям до неспособности управлять рисками безопасности или отказа от использования шифрования.

  Если чья-то личная информация связана с утечкой медицинских данных, мы надеемся, что закон HIPAA поможет защитить этих пациентов — в противном случае данные будут раскрыты, включая имена пациентов, номера социального страхования, даты рождения, номера финансовых счетов, результаты лабораторных исследований или анализов, страховку. детали, пароли и многое другое.

  Вы понимаете, почему законы о конфиденциальности данных важны для защиты этой личной информации. Если вам нужна помощь в том, чтобы представить себе, что может пойти не так с раскрытием конфиденциальных данных, мы можем указать вам на нашу статью о статистике конфиденциальности данных и статью о статистике кражи личных данных.

  Законы штатов о безопасности данных гораздо более прогрессивны по сравнению с федеральным законодательством. Калифорния и Вирджиния лидируют в законодательстве о защите данных, но и другие штаты присоединяются к борьбе со злоупотреблением персональными данными.

  ^{Источник: iapp.org}

  Как и GDPR, эти законы имеют экстерриториальное действие, поскольку любая компания, желающая предоставлять услуги гражданам американского штата, должна соблюдать его законы о конфиденциальности. Вот законы штата, которые в настоящее время защищают личную информацию.

  Закон штата Калифорния о конфиденциальности потребителей (CCPA и CPRA)

  Калифорния, возможно, имеет лучшие законы о конфиденциальности в Соединенных Штатах. Калифорнийский закон о конфиденциальности потребителей (CCPA) был важным законодательным актом, принятым в 2018 году, защищающим конфиденциальность данных калифорнийцев и предъявляющим строгие требования к безопасности данных для компаний.

  CCPA проводит много сравнений с европейским GDPR, что является высокой похвалой, учитывая превосходную защиту данных, которую ЕС предоставляет своим гражданам.

  Среди этих параллелей — право граждан на доступ ко всем данным, которые есть о них у компании, а также право на забвение — или, другими словами, на удаление ваших личных данных. Однако, вероятно, самое важное сходство между CCPA и GDPR заключается в том, насколько широко они оба толкуют термин «персональные данные».

  В соответствии с определением CCPA персональные данные — это любая «информация, которая идентифицирует, относится, описывает, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством».

  Это знаковое определение, которое не позволяет брокерам данных и рекламодателям собирать ваши личные данные и профилировать вас или, по крайней мере, очень затрудняет для них это.

  Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) — еще один калифорнийский закон, который вносит поправки в CCPA и расширяет сферу его действия. Самое главное, было создано Калифорнийское агентство по защите конфиденциальности, отвечающее за соблюдение законов и обеспечение их соблюдения.

  Закон штата Вирджиния о защите данных потребителей (CDPA)

  Закон штата Вирджиния о защите данных потребителей (CDPA) во многом похож на CCPA и GDPR и основан на тех же принципах защиты персональных данных. Подпадающие под действие организации несут те же обязанности, что и в соответствии с CCPA, включая предоставление пользователям права доступа, просмотра, загрузки и удаления личной информации из базы данных компании.

  В число подпадающих под действие организаций входят организации, обрабатывающие данные не менее 100 000 человек ежегодно или обрабатывающие данные не менее 25 000 человек ежегодно, но получающие не менее 50% своего дохода от продажи этих данных (например, брокеры данных).

  CDPA штата Вирджиния отличается от CCPA тем, что представляет собой продажу личной информации, используя более узкое определение. CCPA и GDPR определяют это как обмен личной информацией либо за деньги, либо по другим причинам, тогда как CDPA сужает эти другие причины до нескольких конкретных случаев.

  Также следует отметить отсутствие специального регулирующего органа, подобного тому, который был создан в Калифорнии в рамках CPRA. Нынешним регулятором является генеральный прокурор Вирджинии, а это означает, что соблюдение закона может быть сложнее, чем в Калифорнии.

  Более того, Закон о защите прав потребителей штата Вирджиния (CDPA) не предусматривает частного права на иск, а это означает, что жители Вирджинии не могут предъявлять иски компаниям за нарушения Закона о защите прав потребителей (CDPA).

  Закон штата Колорадо о конфиденциальности (ColoPA)

  Закон штата Колорадо о конфиденциальности (ColoPA) идет по стопам своих предшественников и придерживается тех же принципов защиты личной информации. На самом деле нет заметной разницы между ним и правилами Калифорнии, хотя в некоторых своих мерах защиты он идет немного дальше.

  Например, CCPA позволяет потребителю запрашивать доступ ко всем своим личным данным (используя определение персональных данных согласно CCPA), в то время как ColoPA предоставляет потребителю доступ к любой информации, которой располагает компания.

  Он также добавляет требование конфиденциальных данных к запросам на согласие. Это означает, что обработчик данных должен запросить специальное разрешение на обработку данных, которые могут классифицировать человека в защищенную категорию (например, расу, пол, религию и медицинские диагнозы). На момент написания статьи ColoPA соблюдается генеральным прокурором Колорадо.

  Закон штата Юта о конфиденциальности потребителей (UCPA)

  Закон штата Юта о конфиденциальности потребителей (UCPA) — это последний закон штата о защите данных, который должен быть принят в США. Как и все предыдущие законы, он использует пример, установленный GDPR, поэтому мы укажем только то, что отличает его от других.

  Одним заметным отличием является то, что его определение персональных данных применимо только к данным потребителей. Это исключает данные, которые работодатель имеет о своих сотрудниках или которые бизнес получает от другого бизнеса.

  Также нет требований к оценке защиты данных. Закон Колорадо требует периодической проверки безопасности для всех обработчиков данных, чтобы убедиться, что они применяют разумные меры безопасности данных, но Юта не налагает такого требования. Существует также порог годового дохода для обработчиков данных в размере 25 миллионов долларов — организации, зарабатывающие меньше этого, не обязаны его соблюдать.

  Коннектикут (CTDPA)

  Закон Коннектикута о конфиденциальности данных (CTDPA) был подписан в мае 2022 г. и вступит в силу в июле 2023 г. Он применяется к компаниям, которые обрабатывают данные от 100 000 или более человек в год или которые получают более 25% своего дохода. из потребительских данных при обработке данных не менее 25 000 человек. Законы также применяются к третьим сторонам, которые обрабатывают данные от имени этих компаний.

  Средства защиты в CDPA включают права на доступ к личной информации, хранящейся у контролеров и обработчиков данных, на ее хранение в легко переносимом формате, на запрос исправлений и на удаление данных. Граждане могут отказаться от использования своих данных для целевой рекламы или продажи с целью получения прибыли.

  Важно отметить, что CDPA поставляется с универсальным механизмом отказа, хотя контроллеры и процессоры должны распознавать его только начиная с 2025 года.

  Другие штаты

  Коннектикут вместе с Вирджинией, Колорадо, Калифорнией и Ютой стал пятым штатом, принявшим строгий закон о неприкосновенности частной жизни по образцу GDPR. Сторонники конфиденциальности надеются, что эффект домино подстегнет законодательство, которое в настоящее время рассматривается в Пенсильвании, Огайо и Мичигане, а также еще в 14 штатах, где законопроекты находятся на предварительной стадии.

  Федеральные законы о конфиденциальности данных

  На федеральном уровне принято не так много законов о конфиденциальности данных, а те, которые действуют, довольно специфичны в отношении того, какие данные они охватывают и какие группы они защищают. Ниже мы опишем наиболее важные из них, но знайте, что существуют десятки незначительных законов и правил, касающихся конфиденциальности данных.

  Закон о конфиденциальности от 1974 г.

  Закон о конфиденциальности 1974 года – это основной закон о конфиденциальности данных, который применяется к тому, как федеральное правительство и его агентства обрабатывают данные граждан США. Закон о конфиденциальности позволяет гражданам получать доступ и просматривать государственные записи, содержащие их данные, а также запрашивать изменение записей в случае неточностей.

  Закон также защищает от вторжений в частную жизнь, связанных с обработкой личной информации человека. Это также предотвращает раскрытие или распространение информации в федеральной системе записей без письменного согласия лица (за некоторыми исключениями).

  Закон о Федеральной торговой комиссии (Закон FTC)

  Федеральная торговая комиссия была создана в основном для решения вопросов, возникающих в связи с тем, что предприятия используют сомнительные финансовые методы. Тем не менее, FTC также выполняет функцию государственного наблюдателя за конфиденциальностью данных, по крайней мере, в отношении бизнеса.

  В соответствии с разделом 5 Закона о Федеральной торговой комиссии, в результате которого была создана Федеральная торговая комиссия, Федеральная торговая комиссия запрещает компаниям и финансовым учреждениям совершать «недобросовестные или вводящие в заблуждение действия или методы» по отношению к своим клиентам.

  Этот раздел не позволяет компаниям искажать информацию о том, как они обрабатывают ваши данные. Например, Facebook сделал несколько ложных заявлений в годы, предшествовавшие судебному иску FTC в 2012 году, в том числе вводя пользователей в заблуждение относительно видимости сообщений и информации, которую они пометили как «личную» или «только для друзей», а также делился данными со сторонними организациями. Программы.

  Закон Грэмма-Лича-Блайли (GLBA)

  Закон Грэмма-Лича-Блайли (GLBA) является еще одним нормативным актом, применяемым FTC. В GLBA говорится, что все финансовые учреждения должны полностью раскрывать информацию о том, как они обрабатывают и передают данные клиентов. В список охватываемых учреждений входят вероятные подозреваемые, такие как банки и страховые компании, а также финансовые консультанты или любые учреждения, выдающие кредиты.

  GLBA также включает пункт о защите данных, называемый Правилом гарантий, в котором говорится, что подпадающие под действие учреждения должны также обеспечивать адекватный уровень защиты ваших данных.

  Закон о достоверной кредитной отчетности (FCRA)

  Закон о добросовестной кредитной отчетности — это закон, регулирующий порядок обработки данных о потребителях с упором на информацию о потребительских кредитах. Это гарантирует, что отчеты потребителей (или кредитные отчеты) всегда точны, и предотвращает намеренное и злонамеренное изменение информации в этих отчетах агентствами, предоставляющими отчеты о потребителях.

  Данные в этих отчетах собираются агентствами по защите прав потребителей, такими как кредитные бюро, медицинские информационные компании и службы проверки арендаторов.

  Закон о переносимости и подотчетности медицинского страхования (HIPAA)

  HIPAA является одним из наиболее важных законодательных актов о конфиденциальности данных в США. Это далеко идущий закон, запрещающий передачу вашей защищенной медицинской информации (PHI) медицинским учреждением без вашего согласия. FTC также требует уведомления об утечке данных, поэтому, если поставщик медицинских услуг пострадал от утечки данных, он должен немедленно уведомить всех своих пациентов.

  Предотвращает нарушение конфиденциальности между пациентом и врачом, а также не позволяет медицинскому учреждению обмениваться данными пациентов с сотрудниками (для этого также необходимо подписать разрешение). HIPAA также распространяется на любое учреждение или лицо, предоставляющее медицинские услуги, включая психологов и хиропрактиков.

  Правила HIPAA чрезвычайно строги, и даже такие безобидные действия, как сообщение врача маме о простуде или медсестра, изучающая вашу историю болезни без разрешения, являются нарушением.

  Даже мобильные медицинские приложения и облачные хранилища должны соответствовать HIPAA, если они хранят какие-либо идентифицирующие данные (например, дату вашего рождения).

  Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA)

  Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) защищает данные в образовательной карте учащегося и регулирует, как они могут быть опубликованы, обнародованы, доступны или изменены. Он позволяет родителям несовершеннолетних учащихся получать доступ к документам об образовании своих детей и при необходимости запрашивать их изменение.

  Закон также ограничивает общедоступную информацию и позволяет учащимся и родителям несовершеннолетних учащихся скрывать определенную информацию, которая может нанести ущерб будущему учащегося.

  FERPA частично совпадает с HIPAA и является причиной так называемого исключения FERPA. В тех случаях, когда образовательное учреждение хранит то, что можно было бы считать медицинскими данными (например, информацию о сеансе консультирования или лечении в кампусе), FERPA имеет приоритет над HIPAA, и его правила соблюдаются в отношении того, как обрабатываются эти данные.

  Закон о защите конфиденциальности детей в Интернете (COPPA)

  COPPA стремится защитить детей младше 13 лет от онлайн-хищничества и налагает строгие правила на то, как обрабатываются данные этих детей.

  Сюда входит реализация поддающегося проверке родительского согласия (дети не могут давать согласие на обработку своих данных), ограничение маркетинга для детей, предоставление четкого представления о том, какие данные собираются, и удаление любой информации, которая больше не нужна.

  Конечно, это еще не все, и если вам интересно узнать все подробности, на веб-сайте FTC есть четкое руководство по соблюдению COPPA.

  Однако, поскольку требования COPPA очень строгие, большинство социальных сетей просто заявляют, что не предоставляют услуги детям младше 13 лет, чтобы избежать необходимости соблюдать требования. К сожалению, это не мешает этим детям просто создавать учетную запись самостоятельно и делиться потенциально опасной личной информацией в Интернете, и компания может просто переложить вину на родителей.

  Из-за отсутствия надлежащей защиты родители должны принимать активные меры для защиты своих детей. Ограничение доступа к сайтам социальных сетей с помощью программы фильтрации — это самый простой способ предотвратить доступ детей к опасным веб-сайтам, и некоторые интернет-провайдеры также предоставляют такие инструменты.

  Программное обеспечение для защиты конфиденциальности в Интернете

  Лучший способ сохранить конфиденциальность вашей онлайн-активности — использовать VPN, когда вы находитесь в сети (дополнительную информацию см. в нашем руководстве по конфиденциальности в Интернете). VPN зашифрует ваш трафик, и никто не сможет узнать, какие сайты вы посещаете. Вы можете ознакомиться с нашим списком лучших VPN, чтобы найти тот, который соответствует вашим потребностям.

  Однако даже VPN не может помешать веб-сайту собирать информацию о вас, если вы предоставили ему какие-либо личные данные. Например, использование VPN не может помешать Facebook увидеть, что вам понравилось на его веб-сайте, и связать это с вашей электронной почтой. Затем эти данные могут быть переданы брокерам данных и рекламодателям.

  К сожалению, вы не можете знать наверняка, у каких брокеров данных есть ваши данные. Кроме того, единственное, что вы можете сделать, чтобы удалить свои данные из архива брокера данных, — это попросить их сделать это и надеяться, что они примут меры.

  К счастью, Surfshark Incogni — лучший инструмент для управления конфиденциальностью данных — является решением этой ситуации. Служба, которая действует от вашего имени, связываясь с брокерами данных, чтобы заставить их удалить ваши данные.

  Он выполняет кропотливую задачу, просматривая каждого брокера в своей базе данных и многократно отслеживая их, чтобы заставить их фактически удалить вашу информацию. Вы можете прочитать наш обзор Incogni, если хотите узнать больше.

  Последние мысли

  Законы о конфиденциальности данных являются ключом к обеспечению безопасности вашей информации. Федеральные законы о конфиденциальности данных в США отсутствуют по сравнению с усилиями по защите данных в Европейском Союзе, но отдельные штаты все активнее принимают меры для удовлетворения потребностей своих граждан в конфиденциальности.

  Было ли вам полезно это руководство по законам США о цифровой конфиденциальности? Вас удивляет отсутствие защиты на федеральном уровне? Дайте нам знать в комментариях ниже. Как всегда, спасибо за чтение.

  Дайте нам знать, если вам понравился пост. Только так мы можем стать лучше.

  Защитите конфиденциальность личных данных | Генеральная Ассамблея Колорадо

  Генеральная Ассамблея КолорадоToggle Main Menu

  Этот веб-сайт требует JavaScript для оптимальной работы на компьютерах, мобильных устройствах и программах чтения с экрана. Пожалуйста, включите JavaScript для лучшего опыта!

  СБ21-190

  О дополнительной защите данных, касающихся личной жизни.

  Сессия:

  Очередная сессия 2021 г.

  Предмет:

  Финансовые услуги и торговля

  Сводка счетов

  Закон устанавливает права на конфиденциальность личных данных и:

  • Применяется к юридическим лицам, которые ведут бизнес или производят коммерческие продукты или услуги, которые намеренно нацелены на жителей Колорадо и которые:
  • Контролировать или обрабатывать персональные данные не менее 100 000 потребителей в течение календарного года; или
  • Получать доход от продажи персональных данных и контролировать или обрабатывать персональные данные не менее 25 000 потребителей; и
  • Не применяется к определенным указанным организациям, включая государственные и местные органы власти и государственные высшие учебные заведения, персональные данные регулируются перечисленными государственными и федеральными законами, перечисленными видами деятельности и записями о занятости.

  
  Закон определяет «контролера» как лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. «Обработчик» означает лицо, которое обрабатывает персональные данные от имени контролера. Потребители имеют право отказаться от обработки их персональных данных контролером; получать доступ, исправлять или удалять данные; или получить от контроллера портативную копию данных.
  
  Закон:
  

  • Определяет, как контролеры должны выполнять обязанности в отношении отстаивания потребителями своих прав, прозрачности, определения цели, минимизации данных, недопущения вторичного использования, ухода, недопущения незаконной дискриминации и конфиденциальных данных;
  • Требует от контролеров проведения оценки защиты данных для каждого из своих действий по обработке персональных данных, которые представляют повышенный риск причинения вреда потребителям, таких как обработка в целях целевой рекламы, профилирование, продажа персональных данных или обработка конфиденциальных данных; и
  • Указывает, что нарушение его требований является обманной торговой практикой в ​​целях правоприменения, но действие может быть приведено в исполнение только генеральным прокурором или окружными прокурорами.

    No related posts.