Закона о персональных данных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Роскомнадзор предложил расширить действие закона о персональных данных

https://ria.ru/20210323/dannye-1602446359.html

Роскомнадзор предложил расширить действие закона о персональных данных

Роскомнадзор предложил расширить действие закона о персональных данных — РИА Новости, 23.03.2021

Роскомнадзор предложил расширить действие закона о персональных данных

Роскомнадзор предложил распространить принципы закона о персональных данных на иностранные интернет-площадки, сообщил замглавы ведомства Владимир Логунов. РИА Новости, 23.03.2021

2021-03-23T11:43

2021-03-23T11:43

2021-03-23T16:07

технологии

федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор)

россия

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdnn21.img.ria.ru/images/07e5/02/08/1596488930_0:0:3067:1725_1920x0_80_0_0_f357846478f2b3d64339d05b58375ced. jpg

МОСКВА, 23 мар — РИА Новости. Роскомнадзор предложил распространить принципы закона о персональных данных на иностранные интернет-площадки, сообщил замглавы ведомства Владимир Логунов.Федеральный закон № 152 «О персональных данных» регулирует сбор и обработку личной информации о россиянах: ответственное лицо или компания обязаны принимать меры по предотвращению утечки конфиденциальных сведений.В ведомстве также хотят обязать операторов персональных данных возмещать ущерб в случае их неправомерной передачи.»То есть это такая инновационная идея, которую мы планируем на площадке Госдумы проработать, чтобы возмещение <…>, в частности морального ущерба субъекта персональных данных, было соразмерно этому ущербу», — заявил Логунов.Кроме того, регулятор считает правильным ограничить передачу индивидуальной информации о россиянах за границу. «То есть <…> внести некоторые правила трансграничной передачи, чтобы не распространять их на зарубежные юрисдикции, на иностранные интернет-площадки», — пояснил замглавы ведомства. Меры призваны дополнительно защитить права граждан, подчеркнули в Роспотребнадзоре.В начале марта Минцифры предложило изменить требования к обработке обезличенных сведений. Поправки, как объяснили их авторы, направлены на усиление защиты прав россиян при обороте «больших данных».

https://ria.ru/20201123/sotsseti-1585800183.html

https://ria.ru/20201230/dannye-1591585356.html

россия

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2021

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og. xn--p1ai/awards/

https://cdnn21.img.ria.ru/images/07e5/02/08/1596488930_338:0:3067:2047_1920x0_80_0_0_0277c84b5619e5d3f6f903171f9c0197.jpg

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

технологии, федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (роскомнадзор), россия

МОСКВА, 23 мар — РИА Новости. Роскомнадзор предложил распространить принципы закона о персональных данных на иностранные интернет-площадки, сообщил замглавы ведомства Владимир Логунов.

«Сделать это можно в том числе в соглашении между уполномоченным органом власти в области персональных данных, это Роскомнадзор, и иностранными органами власти. Возможно, какими-то другими механизмами, но эта задача не теряет своей актуальности», — сказал он на заседании рабочей группы комитета Госдумы по борьбе с киберпреступлениями.

Федеральный закон № 152 «О персональных данных» регулирует сбор и обработку личной информации о россиянах: ответственное лицо или компания обязаны принимать меры по предотвращению утечки конфиденциальных сведений.

В ведомстве также хотят обязать операторов персональных данных возмещать ущерб в случае их неправомерной передачи.

«То есть это такая инновационная идея, которую мы планируем на площадке Госдумы проработать, чтобы возмещение <…>, в частности морального ущерба субъекта персональных данных, было соразмерно этому ущербу», — заявил Логунов.

23 ноября 2020, 08:00

Как заставить западные соцсети следовать российским законам

Кроме того, регулятор считает правильным ограничить передачу индивидуальной информации о россиянах за границу. «То есть <…> внести некоторые правила трансграничной передачи, чтобы не распространять их на зарубежные юрисдикции, на иностранные интернет-площадки», — пояснил замглавы ведомства.

Меры призваны дополнительно защитить права граждан, подчеркнули в Роспотребнадзоре.

В начале марта Минцифры предложило изменить требования к обработке обезличенных сведений. Поправки, как объяснили их авторы, направлены на усиление защиты прав россиян при обороте «больших данных».

30 декабря 2020, 14:49

Россияне получили право требовать у оператора удалить персональные данные

Федеральный закон «О персональных данных» (проект)

ФЕДЕРАЛЬНЫЙ ЗАКОН
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Настоящий Федеральный Закон устанавливает порядок работы с персональными данными в соответствии с Конституцией и законами Российской Федерации, общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация.

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Задача Федерального Закона
Задачами настоящего Федерального Закона являются:
регулирование отношении по защите прав личности на доступ к своим персональным данным и на защиту этих данных в процессе использования;
установление порядка формирования массивов персональных данных федеральными органами государственной власти, органами государственной власти субъектов федерации, органами местного самоуправления, юридическими и физическими лицами;
определение правового режима персональных данных, включая обеспечение их конфиденциальности;
определение Прав и обязанностей субъектов и держателей персональных данных;
установление форм государственного регулирования и порядка работы с персональными данными, условий их охраны.

Статья 2. Сфера действия Федерального Закона
Настоящим Федеральным Законом регулируются отношения, возникающие при сборе, хранении, актуализации, передаче, блокировании, охране и уничтожении персональных данных.
Положения и требования настоящего Федерального Закона распространяются на федеральные органы государственной власти, органы государственной власти субъектов федерации, органы местного самоуправления, юридических и физических лиц, участвующих в работе с персональными данными.

Законодательство о персональных данных состоит из настоящего Федерального Закона, Федерального Закона «Об информации, информатизации и защите информации» и издаваемых в соответствии с настоящим Федеральным Законом других законодательных актов.

Статья 3. Основные термины и определения
Персональные данные — любая документированная информация (документ), относящаяся к конкретному человеку или которая может быть отождествлена с конкретным человеком.
К персональной информации относятся: опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, коммерческих сделках, состоянии здоровья и т.

д.
Субъекты персональных данных (субъекты) — граждане Российской Федерации, иностранные граждане и лица без гражданства, проживающие в Российской Федерации, а в случаях, предусмотренных законодательством, — временно находящиеся на территории России, к личности которых относятся соответствующие персональные данные.
Держатель персональных данных (держатель) — федеральные органы государственной власти, органы государственной власти субъектов федерации, органы местного самоуправления, юридические и физические лица, осуществляющие владение и пользование персональными данными и реализующие полномочия распоряжения ими в пределах и целях, установленных законодательством.
Работа с персональными данными — сбор, хранение, актуализация, передача, блокирование, охрана и уничтожение персональных данных.
Первичный сбор персональных данных — документально оформленная процедура передачи персональных данных от субъекта держателю.
Передача персональных данных — предоставление кому-либо персональных данных их субъектом или держателем в соответствии с настоящим Федеральным Законом и действующим законодательством.
Блокирование персональных данных — временное прекращение актуализации, передачи и уничтожения персональных данных.
Обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
Актуализация персональных данных — внесение изменений в персональные данные в соответствии с установленными настоящим Федеральным Законом процедурами.

Статья 4. Правовой режим персональных данных
Персональные данные, находящиеся в ведении держателя, относятся к конфиденциальной информации и охраняются независимо от воли субъекта персональных данных. Исключение составляют персональные данные, находящиеся в общедоступных базах персональных данных.

Работа с персональными данными должна осуществляться только в целях, по перечням и в сроки, которые необходимы для выполнения задач соответствующего держателя персональных данных, установленных действующим законодательством, лицензией и (или) договором.
Работа с персональными данными должна производиться с соблюдением мер обеспечения их конфиденциальности и охраны, предотвращающих нанесение вреда субъекту персональных данных.
Режим конфиденциальности персональных данных снимается в случаях:
обезличивания персональных данных;
истечения семидесятипятилетнего срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим законодательством.
Правовой режим персональных данных, полученных в результате оперативно-розыскных мероприятий, и порядок пользования этими данными устанавливаются Законом Российской Федерации «Об оперативно-розыскной деятельности».

Статья 5. Общедоступные базы персональных данных
В целях информационного обеспечения общества могут создаваться общедоступные базы персональных данных (справочники, телефонные книги, адресные бюро и т.д.). В общедоступные базы персональных данных включаются только следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес, номер домашнего телефона гражданина.

Перечисленные персональные данные включаются в общедоступные базы персональных данных на основании письменного согласия самого субъекта.
Сведения о конкретных субъектах могут быть в любое время исключены из базы в следующих случаях:
на основании распоряжения субъекта персональных данных;
на основании обращений правоохранительных органов.
Выдача информации из общедоступной базы персональных данных осуществляется по запросу. По одному запросу может сообщаться информация только об одном субъекте персональных данных.
Режим конфиденциальности общедоступных баз персональных данных не устанавливается. Защита общедоступных баз персональных данных осуществляется в соответствии с Федеральным Законом «Об информации, информатизации и защите информации».

Статья 6. Предоставление персональных данных
Субъект персональных данных самостоятельно решает вопрос передачи (сообщения) кому-либо своих персональных данных, за исключением слу­чаев, предусмотренных ст. 13 и 15 настоящего Федерального Закона.
В целях осуществления своих прав и свобод субъект предоставляет необ­ходимые персональные данные, а также сведения об их изменениях в соот­ветствующие федеральные органы государственной власти, органы государ­ственной власти субъектов федерации, органы местного самоуправления, имеющие право на работу с ними в пределах компетенции.

Согласие на передачу и сами персональные данные заверяются личной подписью субъектов.

Статья 7. Первичный сбор персональных данных
Субъект персональных данных лично передает держателю или его представителю свои персональные данные. При сборе данные Документируются в установленном порядке. Достоверность собираемых персональных данных и факт их документирования подтверждаются личной подписью субъекта.
Перед предоставлением своих персональных данных субъект должен быть ознакомлен с перечнем собираемых данных, основаниями и целями их сбора и использования.

ГЛАВА 2. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 8. Доступ к персональным данным
Субъект персональных данных имеет право на доступ к персональным данным, относящимся к его личности.
На основании письменного запроса и удостоверения личности в установленном порядке субъект персональных данных имеет право получать от держателя информацию о наличии данных о себе и сами эти данные.
Субъект персональных данных имеет право также знакомиться с документами, содержащими сведения персонального характера о нем.
Указанная информация должна быть выдана субъекту персональных данных в общедоступной документированной форме, четко и ясно выраженная и не должна содержать персональные данные, относящиеся к другим людям.
Предоставление персональных данных по запросам субъектов производится бесплатно. Компенсируются только затраты на поиск и выдачу информации.
Данное право может быть ограничено только в случаях, предусмотренных ст. 1S настоящего Федерального Закона.

Статья 9. Внесение изменений в свои персональные данные
При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения изменений в свои персональные данные.

Изменения в персональные данные должны быть внесены в порядке, установленном ст. 20 настоящего Федерального Закона.

Статья 10. Блокирование и снятие блокирования персональных данных
В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя заблокировать эти данные. Блокирование и снятие блокирования персональных данных осуществляется в соответствии со ст. 16 настоящего Федерального Закона.

Статья 11. Обжалование неправомерных действий в отношении персональных данных
Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обратиться к Уполномоченному Российской Федерации по защите прав субъектов персональных данных и (или) обжаловать эти действия в административном или судебном порядке.

Статья 12. Возмещение убытков и (или) компенсация морального вреда
В случае установления неправомерности действий при работе с персональными данными, субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
В случае передачи одних и тех же персональных данных от одного держателя к другому и невозможности определения конкретного виновника нанесения ущерба ответственность несет каждый держатель этих данных.

Статья 13. Ограничение прав субъектов на персональные данные
Ограничение прав субъекта на свои персональные данные возможно в отношении:
1) права предоставления субъектом своих персональных данных — для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных Законом «О государственной тайне»..
2) прав доступа к своим персональным данным, внесения изменений в свои персональные данные, блокирования своих персональных данных:
а) в отношении персональных данных, отнесенных к сведениям, составляющим государственную тайну;
б) в отношении персональных данных, составляющих тайну усыновления;
в) в отношении персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением действующего законодательства;
г) в отношении персональных данных субъектов, задержанных по подозрению в совершении преступления либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения в органах, проводящих указанные действия.
8) прав доступа к своим персональным данным и внесения изменений в свои персональные данные — в отношении персональных данных медицинского характера, если это предусматривается решением врачебной комиссии.

Статья 14. Передача и наследование прав субъектов персональных данных
Субъект персональных данных вправе поручить доверенному лицу в установленном порядке осуществлять права доступа, внесения изменений,
блокирования и обжалования неправомерных действий в отношении его персональных данных.
В случае недееспособности субъекта персональных данных права по доступу, внесению изменений, блокированию и обжалованию неправомерных действий в отношении его персональных данных осуществляет его законный представитель.
На наследников субъектов персональных данных распространяются предусмотренные настоящим Федеральным Законом права доступа к персональным данным субъектов.

ГЛАВА 3. ПРАВА И ОБЯЗАННОСТИ ДЕРЖАТЕЛЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 15. Работа с персональными данными
Федеральные органы государственной власти, органы государственной власти субъектов федерации, органы местного самоуправления имеют право на работу с персональными данными в соответствии с утвержденными перечнями, в пределах своей компетенции, установленной действующим законодательством, или на основании-лицензии.
Юридические и физические лица имеют право на работу с персональными данными на основании лицензии.
Лицензия не требуется в случае работы с персональными данными для целей, исключающих передачу персональных данных иным юридическим и физическим лицам.

Статья 16. Обязанности держателя персональных данных
Держатель персональных данных обязан:
получать персональные данные непосредственно от субъекта или из других источников с его согласия, за исключением случаев, предусмотренных действующим законодательством;
обеспечивать режим конфиденциальности персональных данных в предусмотренных настоящим Федеральным Законом случаях;
документально определять порядок работы служащих с персональными данными, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и охраны персональных данных;
обеспечивать сохранность и достоверность персональных данных, их актуализацию, а также установленный в нормативном порядке режим доступа к ним;
сообщать субъекту по его требованию информацию о наличии персональных данных о нем, а также сами персональные данные, за исключением случаев, предусмотренных ст. 18 настоящего Федерального Закона;
в случае отказа в сообщении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, содержащий ссылку на соответствующий пункт ст. 13 настоящего Федерального Закона; в двухнедельный срок представлять по запросам Уполномоченного Российской Федерации по защите прав субъектов персональных данных информацию, необходимую для исполнения его полномочий.
Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по сохранению конфиденциальности этих персональных данных. Обязательства остаются в силе и после окончания работы с персональными данными.

Статья 17. Обязанности держателя персональных данных по их блокированию, снятию блокирования и уничтожению
В случае выявления субъектом недостоверности персональных данных или неправомерности действий с ними он может подать заявление держателю этих данных или обратиться к Уполномоченному Российской Федерации по защите прав субъектов персональных данных. Держатель обязан принять в производство заявление субъекта и заблокировать эти персональные данные на период проверки.
В случае установления недостоверности персональных данных держатель обязан на основании документов, представленных субъектом, исправить их — снять блокирование.
В случае установления неправомерности сбора персональных данных держатель обязан уничтожить соответствующие данные.
В случае взаимного признания правомерности действий с персональными данными или их достоверности держатель обязан снять их блокирование.
В случае несогласия держателя с заявлением субъекта персональных данных рассмотрение конфликтных ситуаций осуществляется Уполномоченным Российской Федерации по защите прав субъектов персональных данных или в административном (Судебном) порядке.
При получении решения Уполномоченного Российской Федерации по защите прав субъектов персональных данных держатель обязан рассмотреть его, принять соответствующие меры и в месячный срок в письменной форме сообщить об этом Уполномоченному.

Статья 18. Передача персональных данных
Держатель персональных данных вправе передавать эти данные другому держателю только в том случае, если цели этого держателя соответствуют целям первичного сбора персональных данных.
Объединение массивов персональных данных не допускается.
Передача персональных данных для работы с ними в целях, не соответствующих целям первичного сбора этих данных, осуществляется:
с согласия субъекта;
на основании закона.
В случае крайней необходимости передача персональных данных субъекта в его интересах может осуществляться без согласия субъекта.
Передача персональных данных может осуществляться по запросу органов государственной власти и местного самоуправления, полномочия которых в данной области определены законом.
Передача персональных данных осуществляется в минимальном объеме, необходимом для решения задач соответствующего держателя. При этом документально фиксируются:
основания для передачи персональных данных;
цель передачи;
получатель информации;
состав и объем передаваемых сведений.
При передаче персональных данных другому держателю на него возлагается обязанность соблюдения режима конфиденциальности этих данных.
Ответственность за допустимость запроса лежит на держателе, запрашивающем персональные данные.
Объем персональных данных, сроки их использования (в пределах, установленных для держателя), условия актуализации и режим охраны персональных данных определяются договором между держателями.

Статья 19. Обезличивание персональных данных
Персональные данные могут быть использованы для проведения исторических, статистических, социологических, медицинских и других научных и практических исследований. В этом случае держатель персональных данных обязан осуществить обезличивание используемых данных, придавая им форму анонимных сведений.
При этом режим конфиденциальности персональных данных снимается.
Обезличивание должно исключать возможность идентификации субъекта персональных данных.

Статья 20. Хранение персональных данных
Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или чем это предусмотрено лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законодательством.
По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии, они подлежат уничтожению.
В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора или истечения срока действия лицензии держатель обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных, если его местожительство известно.
Определенные персональные данные (личные дела, метрические книги, хозяйственные книги и др.), после минования практической надобности в них, могут оставаться на постоянном хранении, приобретая статус исторического памятника.

Статья 21. Актуализация персональных данных
Держатель персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных:
в случаях, предусмотренных законом;
по собственной инициативе;
по инициативе субъекта, персональные данные которого подлежат изменению.
Внесение изменений в персональные данные по требованию субъекта данных производится не позднее месячного срока с момента подачи заявления. В других случаях внесение изменений осуществляется в соответствии с внутренними правилами, установленными держателем персональных данных.
Актуализация архивных документов не допускается. В случае необходимости в архив могут быть помещены дополнительные материалы, касающиеся персональных данных субъекта.

ГЛАВА 4. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ И ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Статья 22. Формы государственного регулирования
Государство осуществляет регулирование работы с персональными данными в следующих формах:
лицензирования работы с персональными данными; регистрации баз персональных данных;
сертификации информационных систем персональных данных; межгосударственных соглашений о трансграничной передаче персональных данных.

Статья 23. Лицензирование работы с персональными данными
Лицензия на проведение работ с персональными данными выдается органами, уполномоченными Правительством Российской Федерации и органами государственной власти субъектов Российской Федерации. Перечни органов, выдающих лицензии, публикуются Уполномоченным Российской Федерации по защите прав субъектов персональных данных в открытой печати. В лицензии указываются:
цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
категории или группы субъектов персональных данных;
перечень персональных данных;
источники персональных данных;
порядок информирования субъектов о сборе их персональных данных; меры защиты персональных данных;
лицо, непосредственно ответственное за работу с персональными данными;
требования к наличию сертификатов на компоненты информационных систем персональных данных, средства защиты информационных систем персональных данных, информационные продукты, содержащие персональ ные данные или полученные на основе обработки персональных данных, предназначенные для информационного обслуживания граждан и организаций.
Информационные продукты, содержащие персональные данные, должны содержать указание (ссылку) на выдаваемую лицензию.
Уполномоченными органами, выдающими лицензии, ведется Регистр держателей персональных данных, который ежегодно публикуется в средствах массовой информации с тиражом не менее 10 тыс. экземпляров. Органы, выдающие лицензии, представляют информацию о выданных лицензиях Уполномоченному Российской Федерации по защите прав субъектов персональных данных.

Статья.24. Отзыв лицензии
Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:
подачи держателем персональных данных заявления о прекращении лицензируемой деятельности;
истечения срока действия лицензии;
ликвидации и реорганизации в установленном действующим законодательством порядке органа государственной власти, органа местного самоуправления, юридического лица — держателя персональных данных;
по представлению органа по сертификации информационных систем, предназначенных для обработки персональных данных;
по представлению Уполномоченного Российской Федерации по защите прав субъектов персональных данных;
по решению суда.

Статья 25. Отказ в выдаче лицензии
В выдаче лицензии может быть отказано в следующих случаях:
противоречия заявленных целей Конституции Российской Федерации и текущему законодательству Российской Федерации;
несоответствия заявленных целей видам деятельности, указанным в учредительных документах заявителя;
несоответствия перечня персональных данных заявленным целям;
недостаточности мер защиты данных.

Статья 26. Регистрация баз персональных данных
Вазы данных персонального характера подлежат обязательной регистрации в Службе Уполномоченного по защите прав субъектов персональных данных. Перечни этих баз подлежат обязательной ежегодной публикации в средствах массовой информации с тиражом не менее 100 тыс. экземпляров.
При регистрации фиксируются:
наименование баз данных;
цели сбора персональных данных и использования баз данных; состав собираемых персональных данных; категории или группы субъектов персональных данных; сроки хранения персональных данных.
Базы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Российской Федерации «О государственной тайне», не регистрируются.

Статья 27. Сертификация информационных систем, предназначенных для обработки персональных данных, и информационных продуктов, содержащих персональные данные
Обязательной сертификации подлежат:
предназначенные для обработки персональных данных информационные системы, а также средства их защиты;
информационные продукты, содержащие персональные данные или полученные на основе обработки персональных данных.
Сертификацию осуществляют органы по сертификации в соответствии с Законом Российской Федерации «О сертификации продукции и услуг» и (или) с Законом Российской Федерации «О государственной тайне».

Статья 28. Перечни персональных данных
Перечни персональных данных должны соответствовать целям их сбора и содержать минимально необходимый Для этого набор персональных данных. Расширительное толкование перечней не допускается.
Держатели, осуществляющие работу с персональными данными в пределах компетенции, установленной действующим законодательством, разрабатывают в соответствии со спецификой их деятельности перечни персональных данных и руководствуются ими. Указанные перечни утверждаются Правительством Российской Федерации, являются исчерпывающими и под- . лежат опубликованию. Данные перечни устанавливают объем сведений, используемых в интересах федеральных органов государственной власти, органов государственной власти субъектов федерации, органов местного самоуправления.
Держатели, осуществляющие работу с персональными данными по ли- -цензии, самостоятельно разрабатывают перечни персональных данных и руководствуются ими. Указанные .перечни согласовываются с органом, выдающим лицензию, и включаются в нее.

Статья 29. Условия работы с персональными данными
В случае, если федеральные органы государственной власти, органы государственной власти субъектов федерации, органы местного самоуправления осуществляют работу с персональными данными в пределах своей компетенции, установленной действующим законодательством, а условия работы с этими персональными данными не содержатся в законе или положении, определяющем правовой статус держателя, эти условия утверждаются и публикуются в качестве приложения к соответствующему перечню персональных данных.
В приложении указываются:
цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
категории или группы субъектов персональных данных; источники персональных данных;
порядок информирования субъектов о сборе их персональных данных; меры защиты персональных данных;
требования к наличию сертификатов на информационные системы персональных данных, средства их защиты, информационные продукты, содержащие персональные данные или полученные на основе обработки персональных данных, предназначенные для информационного обслуживания граждан и организаций;
лицо, непосредственно ответственное за работу с персональными данными.

ГЛАВА 5. ОСНОВЫ ПРАВОВОГО ПОЛОЖЕНИЯ УПОЛНОМОЧЕННОГО РОССИЙСКОЙ ФЕДЕРАЦИИ ПО ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 30. Задачи Уполномоченного Российской Федерации по защите прав субъектов персональных данных
Уполномоченный РОССИЙСКОЙ Федерации по защите прав субъектов персональных данных (далее — Уполномоченный) реализует гарантии государственной защиты прав субъекта в соответствии с Конституцией и законами Российской Федерации, общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация.

Статья 31. Назначение и освобождение Уполномоченного
Уполномоченным может быть назначен гражданин Российской Федерации, имеющий необходимую квалификацию в сфере информатики и юриспруденции.
Уполномоченный назначается на должность Государственной Думой Федерального Собрания Российской Федерации по представлению Президента Российской Федерации.
Уполномоченный назначается на срок 5 лет.
Одно и то же лицо не может быть назначено на должность Уполномоченного более двух сроков подряд.
Уполномоченный может быть досрочно освобожден от должности Государственной Думой Федерального Собрания Российской Федерации в случаях:
прекращения гражданства Российской Федерации;
стойкой неспособности выполнять свои обязанности по состоянию здоровья;
заключения Верховного Суда Российской Федерации о наличии в действиях Уполномоченного признаков состава преступления.
Уполномоченный освобождается от должности также в случае личного заявления о сложении полномочий.
Решение об освобождении Уполномоченного от должности должно быть принято двумя третями голосов от общего числа депутатов Государственной Думы Федерального Собрания Российской Федерации.
В случае досрочного освобождения Уполномоченного от должности, назначение Уполномоченного должно состояться в течение трех месяцев.

Статья 32. Статус Уполномоченного
Уполномоченный не вправе заниматься публичной политической деятельностью, состоять членом политической партии или движения, а также заниматься какой-либо оплачиваемой деятельностью, кроме преподавательской, научной или творческой.
Уполномоченный не может являться депутатом Федерального собрания Российской Федерации, другого органа представительной власти в течение всего срока полномочий.
Уполномоченный, его жилище, служебное помещение, используемый им транспорт, средства связи, корреспонденция и документы неприкосновенны.
Уполномоченный не вправе разглашать ставшие ему известными в процессе производства сведения о частной жизни субъекта и других лиц без их согласия.
Решение Уполномоченного принятое по результатам производства, обжалованию не подлежит.
Уполномоченный осуществляет свою деятельность независимо, руководствуясь Конституцией Российской Федерации и действующим законодательством.

Статья 33. Компетенция Уполномоченного
Уполномоченный действует в пределах компетенции, установленной настоящим Федеральным Законом, и не вправе принимать решения, отнесенные к компетенции держателей персональных данных.
Деятельность Уполномоченного дополняет существующие средства защиты прав субъекта.
Уполномоченный рассматривает конфликтные ситуации между держателем и субъектом персональных данных с использованием согласительных процедур.
Уполномоченный осуществляет:
регистрацию обращений к нему субъектов персональных данных;
расследования по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;
информирование органов государственной власти и общественности о положении дел в области защиты персональных данных;
представление в Правительство Российской Федерации предложений по развитию и совершенствованию нормативной базы, регламентирующей работу с персональными данными;
ведение объединенного Регистра держателей персональных данных Российской Федерации, регистрацию баз персональных данных и ежегодную публикацию их в средствах массовой информации с тиражом не менее 100 тыс. экземпляров.
Уполномоченный имеет право:
беспрепятственно получать доступ к массивам персональных данных;
запрашивать и получать от держателя персональных данных любые необходимые сведения, документы и материалы;
проводить самостоятельно или совместно с компетентными органами и должностными лицами проверку деятельности держателей персональных данных, относительно которых Уполномоченный располагает информацией о нарушениях прав субъекта;
вносить предложения об отзыве лицензии на проведение работ с персональными данными;
снимать или устанавливать режим конфиденциальности персональных данных;
блокировать персональные данные. Уполномоченный обязан:
известить заявителя о результатах рассмотрения его заявления;
принять и направить держателю персональных данных, в действиях которого он усматривает нарушение прав субъекта, свое решение или рекомендации относительно возможных и необходимых мер восстановления нарушенных прав;
обратиться в суд с иском в защиту прав субъекта, нарушенных действиями или решениями держателя персональных данных;
вносить в компетентные органы представления о возбуждении дисциплинарного, административного или уголовного производства в отношении должностных лиц, в действиях которых усматриваются нарушения прав субъектов персональных данных;
по результатам работы представлять Президенту Российской Федерации, Федеральному собранию Российской Федерации и Председателю Правительства Российской Федерации ежегодный доклад о состоянии защиты прав субъектов персональных данных в Российской Федерации.

Статья 34. Порядок обращения к Уполномоченному
обращение (жалоба, заявление и т. п.) должно быть подано Уполномоченному в письменной форме не позднее одного года с момента нарушения прав субъекта или с того момента, когда субъекту стало, известно о нарушении.
обращение должно содержать фамилию, имя; отчество и адрес субъекта, адрес и наименование Держателя, чьи действия обжалуются, изложение существа действий или решений, нарушивших, по- мнению субъекта, его права.
В случае нарушения требований, указанных в частях 1 и 2 настоящей статьи, решением Уполномоченного обращение может быть принято к рассмотрению в случае его особой общественной значимости вне зависимости от срока давности.

Статья 35. Служба Уполномоченного по защите прав субъектов персональных данных
Для обеспечения Деятельности Уполномоченного создается рабочий аппарат — Служба Уполномоченного по защите прав субъектов персональных данных (далее — Служба).
Финансирование деятельности Службы осуществляется из средств федерального бюджета Российской Федерации, а также из внебюджетных средств.
В пределах выделенных средств Уполномоченный вправе назначать своих представителей в регионах й субъектах Российской Федерации.
На сотрудников Службы распространяется действие законодательства Российской Федерации о государственной службе.
Положение о Службе утверждается Президентом Российской Федерации.
Для оказания консультативной помощи при Уполномоченном на общественных началах создается Экспертный совет.
Персональный состав и положение об Экспертном Совете утверждаются Уполномоченным.

---

&copy Информационное общество, 1995, вып. 6, с. 32-44

5.25 Защита персональных данных – ФЗ-152

Сфера действия Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»:

​

настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Иными словами, действие ФЗ-152 в равной степени касается как субъектов государственного подчинения, так и компаний, которые оперируют персональными данными в личных и коммерческих целях. В категорию тех на кого распространяются требования ФЗ-152, попадают все организации, в силу должностных и профессиональных особенностей обязанные собирать, систематизировать и защищать личные данные.

В целях достижения необходимого уровня соответствия законодательству по организации безопасной обработки персональных данных,  предоставляем следующий комплекс услуг по реализации организационно-правовых требований и построению системы защиты персональных данных:

1. обследование информационных систем по обработке персональных данных;

2. определение состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

3. разработка нормативных документов, регламентирующих правила работы с персональными данными сотрудников и иных субъектов персональных данных;

4. определение актуальных угроз безопасности персональных данных;

5. составление частной модели угроз;

6. классификация информационных систем персональных данных;

7. подача Уведомления/Информационного письма об обработке персональных данных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций;

8. обучение ответственного лица за организацию безопасной обработки персональных данных сформированным регламентам;

9. сопровождение — консультации  пользователей информационных систем персональных данных, ответы на вопросы  пользователей информационных систем персональных данных, бесплатное участие в семинарах по безопасности;

10. определение, установка  и настройка технических средств защиты информации на автоматизированные рабочие места, входящие в состав информационных систем персональных данных.

Legal — Политика конфиденциальности Apple

Веб-сайты, онлайн-сервисы, интерактивные приложения и реклама Apple могут использовать файлы cookie и другие технологии, такие как веб-маяки. Эти технологии помогают нам лучше понимать поведение пользователей, в том числе в целях безопасности и предотвращения мошенничества, сообщают нам, какие части наших веб-сайтов посещали люди, а также упрощают и измеряют эффективность рекламы и веб-поиска.

• Коммуникационные файлы cookie. Эти файлы cookie используются для включения сетевого трафика в системы Apple и обратно, в том числе помогая нам обнаруживать любые ошибки.
• Строго необходимые файлы cookie. Эти файлы cookie устанавливаются по мере необходимости для предоставления определенной функции или услуги, к которой вы обращались или запрашивали. Например, они позволяют нам отображать наши веб-сайты в правильном формате и на правильном языке, для аутентификации и проверки ваших транзакций, а также для сохранения содержимого вашей сумки при совершении покупок в Интернете в Apple. com.
• Прочие файлы cookie. Эти файлы cookie используются для понимания того, как посетители взаимодействуют с нашими веб-сайтами и онлайн-сервисами, в том числе помогая нам оценивать эффективность рекламы и веб-поиска. Apple также использует эти файлы cookie, чтобы запоминать выбор, который вы делаете во время просмотра, чтобы мы могли предоставить вам индивидуальный подход.
  

Если вы предпочитаете, чтобы Apple не использовала файлы cookie, мы предоставим вам возможность отключить их использование.Если вы хотите отключить файлы cookie и используете веб-браузер Safari, выберите «Блокировать все файлы cookie» в настройках конфиденциальности Safari. Если вы используете другой браузер, узнайте у своего провайдера, как отключить файлы cookie. Некоторые функции веб-сайта Apple могут быть недоступны, если все файлы cookie отключены.

Помимо файлов cookie, Apple использует другие технологии, которые помогают нам достигать аналогичных целей.

В некоторых сообщениях электронной почты, которые Apple отправляет вам, мы предоставляем «URL перехода по клику», который связывает вас с содержимым веб-сайта Apple.Когда вы щелкаете по одному из этих URL-адресов, они проходят через отдельный сервер, прежде чем попадут на целевую страницу на нашем веб-сайте. Мы отслеживаем этот переход, чтобы помочь нам определить интерес к определенным темам и оценить, насколько эффективно мы общаемся с вами. Если вы предпочитаете, чтобы вас не отслеживали таким образом, вам не следует щелкать графические или текстовые ссылки в сообщениях электронной почты.

Apple обычно обрабатывает данные, которые мы собираем с помощью этих файлов cookie и аналогичных технологий, как неличные данные. Однако, поскольку адреса интернет-протокола (IP) или аналогичные идентификаторы считаются персональными данными в соответствии с местным законодательством, мы также рассматриваем эти идентификаторы как персональные данные в этих регионах. Кроме того, Apple иногда объединяет неличностные данные, собранные с помощью этих технологий, с другими личными данными, которые хранит Apple. Когда мы объединяем данные таким образом, мы обрабатываем объединенные данные как личные данные для целей настоящей Политики конфиденциальности.

Рекламы, предоставляемые рекламной платформой Apple, могут появляться в Apple News, Stocks или App Store.Если вы не хотите получать рекламу, ориентированную на ваши интересы, с рекламной платформы Apple в этих приложениях, вы можете отключить персонализированную рекламу, в результате чего ваш Apple ID не будет получать такую ​​рекламу независимо от того, какое устройство вы используете. На своем устройстве iOS или iPadOS вы можете отключить персонализированную рекламу, перейдя в «Настройки»> «Конфиденциальность»> «Реклама Apple» и нажав, чтобы отключить персонализированную рекламу. На своем Mac вы можете отключить персонализированную рекламу, выбрав меню «Apple»> «Системные настройки»> «Безопасность и конфиденциальность», нажав «Конфиденциальность», «Реклама» и отменив выбор «Персонализированная реклама». Вы по-прежнему можете видеть рекламу в App Store, Apple News или Stocks в зависимости от контекста, такого как поисковый запрос или канал, который вы читаете. Если вы отключите параметр «Разрешить приложениям запрашивать отслеживание», сторонние приложения не смогут запрашивать использование рекламного идентификатора, неличного идентификатора, обслуживаемого операционной системой на вашем устройстве, для отслеживания вас в приложениях и на веб-сайтах, принадлежащих другим компаниям.

: Защита данных> Департамент международного права> OAS ::

Что такое защита данных? Защита данных — это право на неприкосновенность частной жизни, которое люди иметь против возможного несанкционированного использования личных информация от процессора данных.Объект этого дисциплина заключается в защите частной жизни человека, подвергающегося риску сбор и неправомерное использование личных данных. Data Protection также позволяет людям узнать, кто и для каких целей он обрабатывает персональные данные и может возразите против ненадлежащего использования. Контроль над персональными данными состоит в возможности возражения против обвинения и / или получить, исправить и возразить против их использования, как только они были получены процессором или третьей стороной.

В любом случае обработка должна быть честной, законной и для ограниченной цели. С одной стороны, защита данных позволяет людям больше контроль над тем, как они делятся своими данными с данными процессоры, будь то государство или физическое лицо.С другой, он устанавливает обязанности обработчиков данных: они должны получить свободное и осознанное согласие лица до обработка; обеспечить меры, гарантирующие целостность и конфиденциальность данных; и в случае обмена информацией, он должен гарантировать, что третьи стороны соблюдают тот же уровень защиты. Когда нарушение происходит со стороны обработчика данных, лицо может возражать против запроса исправления или удаления личных данных. Что означают личные данные? Персональные данные относятся ко всей личной информации любого рода. относится к людям. Таким образом, это относится не только к частным информация о человеке, но к любым данным, будь то или не частные, что может повлиять на права, если они используются данными процессоры. Почему важна защита данных? Достижения в компьютерных технологиях, медицине и биотехнологиях привело к увеличению обработки персональных данных в различные сферы экономической и социальной деятельности, представляя сложные технологические проблемы.С другой стороны, прогресс в технологиях и электронной торговле делает обработка и обмен данными по всему миру границы становятся проще и нужнее. Следовательно, это важно для защиты личных данных при содействии непрерывный поток информации, достижения в области технологий и электронная коммерция. Однако смысл частной жизни и происхождение права людей на неприкосновенность частной жизни различаются по мере того, как политика и законы, регулирующие это право, отличаются от страны в страну, поэтому новые правила и положения стали необходимость развития использования персональных данных для обеспечения задействованы основные права.

Закон о защите личной информации материкового Китая

Основные моменты Закона о защите личной информации материкового Китая

Введение

Закон о защите личной информации, первый законодательный акт на материке, посвященный защите личной информации, был принят Постоянным комитетом Всекитайского собрания народных представителей 20 августа 2021 года и вступил в силу с 1 ноября 2021 года.

Закон о защите личной информации устанавливает согласие физических лиц в качестве основной правовой основы для обработки личной информации. Это требует, чтобы обработка личной информации соответствовала принципам законности, справедливости, добросовестности, минимальной необходимости, открытости и прозрачности. Также должны быть конкретные и разумные цели обработки.

Физические лица имеют право на доступ и получение копии своей личной информации от обработчиков личной информации (аналогично пользователям данных в соответствии с Постановлением Гонконга о личных данных (конфиденциальности)).Физические лица также могут потребовать от обработчиков личной информации исправить или удалить их личную информацию, а также предоставить им средства для передачи своей личной информации другим обработчикам.

При обработке личной информации несовершеннолетнего в возрасте до 14 лет обработчики личной информации должны получить согласие родителя или опекуна несовершеннолетнего и установить особые правила обработки.

Закон о защите личной информации запрещает использование автоматизированного принятия решений на основе личной информации, если это ведет к дискриминационной торговой практике, такой как необоснованная ценовая дискриминация в отношении отдельных лиц. Кроме того, когда автоматическое принятие решений используется для push-уведомлений или маркетинга, людям должна быть предоставлена ​​возможность не получать персонализированную информацию или удобные каналы отказа.

Обработчики личной информации, которым необходимо передать личную информацию за пределы материка, должны получить отдельное согласие от отдельных лиц и соответствовать определенным требованиям, таким как прохождение оценки безопасности, проводимой государственными органами киберпространства, получение необходимой сертификации или заключение стандартного контракта. как предписано государственными властями киберпространства.

Закон о защите личной информации содержит положения об экстерриториальном применении. Иностранные организации, которые обрабатывают личную информацию физических лиц на материке с целью предложения им продуктов или услуг или анализа и оценки их поведения, подпадают под действие этого закона. Эти иностранные организации также должны создавать назначенные агентства или назначать представителей на материковой части.

Государственные органы киберпространства несут ответственность за координацию защиты личной информации и соответствующую регулирующую работу.Министерства Государственного совета несут ответственность за защиту личной информации и регулирующую деятельность в пределах своей компетенции.

Обработчик личной информации, нарушающий требования Закона о защите личной информации, подлежит наложению максимального штрафа в размере 50 000 000 юаней или 5% от его годового оборота за предыдущий год. Другие штрафы могут включать приостановку работы для исправления ошибок, аннулирование разрешений или лицензий на ведение бизнеса и т. Д.

Полный текст Закона о защите личной информации (только на китайском языке) доступен на веб-сайте Всекитайского собрания народных представителей: http: // www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml

Ниже приводится изюминка Закона о защите личной информации.

Заявление об ограничении ответственности

Информация, представленная на этой веб-странице, предназначена только для общего ознакомления. Он не является исчерпывающим руководством по применению Закона о защите личной информации и не является юридической или иной профессиональной консультацией. Уполномоченный по конфиденциальности личных данных не дает никаких явных или подразумеваемых гарантий точности или пригодности для конкретной цели или использования в отношении информации, изложенной на этой веб-странице.Организации и частные лица, которые хотят соблюдать требования Закона о защите личной информации, должны обратиться за профессиональной юридической консультацией.

¹ Статья 1 Закона о защите личной информации
² Статья 3 Закона о защите личной информации
³ Статья 33 Закона о защите личной информации
⁴ Статья 73 (1) Закона о защите личной информации
⁵ Статья 3 Закона о защите личной информации
⁶ Статья 53 Закона о защите личной информации
⁷ Статья 4 Закона о защите личной информации
⁸ Статья 28 Закона о защите личной информации
⁹ Статья 28 Закона о защите личной информации
¹⁰ Статья 29 Закона о защите личной информации
¹¹ Статья 26 Закона о защите личной информации
¹² Статьи 55-56 Закона о защите личной информации
¹³ Статья 7 Закона о защите личной информации
¹⁴ Статья 17 Закона о защите личной информации
¹⁵ Статья 17 Закона о защите личной информации
¹⁶ Статья 22 Закона о защите личной информации
¹⁷ Статья 4 Закона о защите личной информации
¹⁸ Статья 5 Закона о защите личной информации
¹⁹ Статья 6 Закона о защите личной информации
²⁰ Статья 13 Закона о защите личной информации
²¹ Статья 31 Закона о защите личной информации
²² Статья 10 Закона о защите личной информации
²³ Статья 14 Закона о защите личной информации
²⁴ Статья 13 Закона о защите личной информации
²⁵ Статья 14 Закона о защите личной информации
²⁶ Статья 27 Закон о защите личной информации 900 18 ²⁷ Статья 23 Закона о защите личной информации
²⁸ Статья 25 Закона о защите личной информации
²⁹ Статья 29 Закона о защите личной информации
³⁰ Статья 26 Закона о защите личной информации
³¹ Статья 39 Закона о защите личной информации
³² Статья 31 Закона о защите личной информации
³³ Статья 16 Закона о защите личной информации
³⁴ Статья 9 Закона о защите личной информации
³⁵ Статья 21 Закона о защите личной информации
³⁶ Статья 59 Закона о защите личной информации
³⁷ Статья 19 Закона о защите личной информации
³⁸ Статья 47 Закона о защите личной информации
³⁹ Статья 8 Закона о защите личной информации
⁴⁰ Статья 51 Закона о защите личной информации
⁴¹ Статья 52 Закона о защите личной информации
⁴² Статья 54 Закона о защите личной информации
⁴³ Статьи с 55 по 56 Закона о защите личной информации
⁴⁴ Статья 58 Закона о защите личной информации
⁴⁵ Статья 57 Закона о защите личной информации
⁴⁶ Статья 57 Закона о защите личной информации
⁴⁷ Статьи с 55 по 56 Закона о защите личной информации
⁴⁸ Статьи 38–39 Закона о защите личной информации
⁴⁹ Статья 38 Закона о защите личной информации
⁵⁰ Статья 38 Закона о защите личной информации
⁵¹ Статья 39 Закона о защите личной информации
⁵² Статья 40 Личной информации Закон о защите информации
⁵³ Статья 73 (2) Закона о защите личной информации
⁵⁴ Статья 24 Закона о защите личной информации
⁵⁵ Статья 24 Закона о защите личной информации
⁵⁶ Статья 24 Закона о защите личной информации Закон о защите личной информации
⁵⁷ Статьи с 55 по 56 Закона о защите личной информации
⁵⁸ Статья 45 Закона о защите личной информации
⁵⁹ Статья 46 Закона о защите личной информации
⁶⁰ Статья 50 Закона о защите личной информации Закон о защите личной информации
⁶¹ Статья 45 Закона о защите личной информации
⁶² Статья 47 Закона о защите личной информации
⁶³ Статья 47 Закона о защите личной информации
⁶⁴ Статья 44 Закона о личной информации Закон о защите
⁶⁵ Статья 49 Закона о защите Закон о защите личной информации
⁶⁶ Статья 60 Закона о защите личной информации
⁶⁷ Статья 60 Закона о защите личной информации
⁶⁸ Статья 64 Закона о защите личной информации
⁶⁹ Статья 66 Персональной информации Закон о защите
⁷⁰ Статья 66 Закона о защите личной информации
⁷¹ Статья 71 Закона о защите личной информации
⁷² Статья 67 Закона о защите личной информации
⁷³ Статья 69 Закона о защите личной информации
⁷⁴ Статья 70 Закона о защите личной информации

Китай принимает Закон о защите личной информации, вступающий в силу 1 ноября

10 сентября 2021 г.

Нажмите, чтобы открыть PDF

20 августа 2021 года Постоянный комитет Всекитайского собрания народных представителей принял Закон о защите личной информации («PIPL»), который вступит в силу 1 ноября 2021 года.Мы уже сообщали об этом здесь, когда закон был в форме проекта. Неофициальный перевод недавно принятой PIPL доступен здесь, а версия PIPL на мандаринском языке доступна здесь. [1]

PIPL применяется к «объектам обработки личной информации (« PIPE »)», определяемым как «организация или физическое лицо, которые независимо определяют цели и средства обработки личной информации». ( Статья 73 ). PIPL определяет «личную информацию» в широком смысле как «различные типы электронной или иным образом записанной информации, относящейся к идентифицированному или идентифицируемому физическому лицу», за исключением анонимной информации, и определяет «обработку» как «сбор, хранение, использование, уточнение, передачу, предоставление, публичное раскрытие или удаление личной информации.»(, статья 4, ).

PIPL имеет много общего с Общим регламентом ЕС по защите данных («GDPR»), включая его экстерриториальный охват, ограничения на передачу данных, обязательства по соблюдению и санкции за несоблюдение, среди прочего. PIPL вызывает определенные опасения у компаний, которые ведут бизнес в Китае, даже если деятельность таких компаний по обработке данных осуществляется за пределами Китая, и последствия несоблюдения могут потенциально включать денежные штрафы и внесение компаний в черный список правительства.

Ниже мы описываем компании, подпадающие под действие PIPL, ключевые особенности PIPL и выделяем критические проблемы для компаний, работающих в Китае, в свете этого важного законодательного изменения.

I. Какие компании подпадают под действие PIPL?

• PIPL применяется к трансграничной передаче личной информации и применяется экстерриториально . Если PIPE передают личную информацию организациям за пределами Китая, они должны проинформировать субъектов данных о передаче, получить их конкретное согласие на передачу и обеспечить соответствие получателей данных стандартам защиты личной информации, аналогичным стандартам PIPL.PIPL применяется к организациям, работающим в Китае, а также к иностранным организациям и частным лицам, обрабатывающим личную информацию за пределами Китая в любом из следующих обстоятельств: (1) организация собирает и обрабатывает личные данные с целью предоставления продуктов или услуг естественным лица в Китае; (2) данные будут использоваться для анализа и оценки поведения физических лиц в Китае; или (3) при других неуказанных «обстоятельствах, предусмотренных законами и административными постановлениями» (, статья 3, ).В этом важное сходство между PIPL и GDPR, поскольку обязательства по защите данных GDPR распространяются на контроллеры и обработчики данных за пределами ЕС, которые отслеживают, анализируют и обрабатывают данные от посетителей в пределах ЕС. Аналогичным образом, в соответствии с PIPL, иностранная принимающая сторона должна соответствовать стандарту защиты личной информации PIPL, если она обрабатывает личную информацию от физических лиц, находящихся в Китае.

• PIPL дает правительству Китая широкие полномочия по обработке личной информации .Государственные организации могут обрабатывать личную информацию для выполнения установленных законом обязанностей, но не могут обрабатывать данные способом, выходящим за рамки, необходимые для выполнения этих установленных законом обязанностей (, статья 34, ). Личная информация, обрабатываемая государственными организациями, должна храниться на территории Китая (, статья 36, ).

II. Основные характеристики PIPL

• PIPL устанавливает руководящие принципы защиты личной информации .Согласно PIPL, обработка личной информации должна иметь «ясную и разумную цель» и должна быть напрямую связана с этой целью (, статья 6, ). PIPL требует, чтобы сбор личной информации был минимальным и не чрезмерным (статья 6 , ), и требует, чтобы PIPE обеспечивали безопасность личной информации (статьи 8-9 ) . С этой целью PIPL налагает ряд обязательств на PIPE, в том числе требует, чтобы PIPE устанавливали политики и процедуры защиты личной информации, внедряли технологические решения для обеспечения безопасности данных и проводили оценку рисков до того, как приступить к определенным процессам обработки ( Статьи 51-59 ).

• PIPL использует подход, основанный на оценке риска, налагая повышенные обязательства по соблюдению требований в определенных сценариях высокого риска. Например, PIPE, объем обработки которых превышает еще не указанный порог, должны назначить сотрудника по защите личной информации, ответственного за надзор за обработкой личных данных (, статья 52, ). Компании PIPE, эксплуатирующие «интернет-платформы», которые имеют «очень большое» количество пользователей, должны привлекать внешнюю независимую организацию для контроля за соблюдением обязательств по защите личной информации и регулярно публиковать «отчеты о социальной ответственности» о статусе их усилий по защите личной информации ( Статья 58 ().Закон предусматривает дополнительную защиту «конфиденциальной личной информации», в широком смысле определяемой как личная информация, которая, будучи раскрытой или использованной незаконным образом, может посягнуть на личное достоинство физических лиц или нанести вред лицам или имуществу (, статья 28, ). «Конфиденциальная личная информация» включает биометрические данные, религиозную информацию, особый статус, медицинскую информацию, финансовый счет, информацию о местонахождении и личную информацию несовершеннолетних в возрасте до 14 лет (, статья 28, ).При обработке «конфиденциальной личной информации», согласно PIPL, PIPE должны использовать только информацию, необходимую для достижения указанной цели сбора, принятия строгих мер защиты и получения специального согласия субъектов данных (, статья 28-29 ).

• PIPL создает юридические права для субъектов данных. Согласно новому закону, PIPE могут обрабатывать личную информацию только после получения полностью осознанного согласия в добровольном и явном заявлении, хотя закон не предоставляет дополнительных сведений о требуемом формате этого согласия.Закон также устанавливает определенные ситуации, когда получение согласия не является необходимым, в том числе, когда это необходимо для выполнения установленных законом обязанностей и ответственности или установленных законом обязательств, или при обработке личной информации в разумных пределах для реализации новостных репортажей, надзора за общественным мнением и других подобных действий для общественности. проценты ( статьи 13-14, 17 ). Если требуется согласие, PIPE должны получить новое согласие, если оно меняет цель или метод обработки личной информации после первоначального сбора (, статья 14, ).Закон также требует, чтобы PIPE предоставляли физическим лицам удобный способ отзыва согласия (статья 15 , ), и требует, чтобы PIPE хранили личную информацию только в течение кратчайшего периода времени, необходимого для достижения первоначальной цели сбора (статья 19 ). Если PIPE используют компьютерные алгоритмы для участия в «автоматизированном принятии решений» на основе данных отдельных лиц, PIPE должны быть прозрачными и справедливыми при принятии решений, и им запрещено использовать автоматическое принятие решений для участия в «необоснованных» дискриминационная »практика ценообразования ( ст. 24, 73 ).«Автоматизированное принятие решений» определяется как деятельность по использованию компьютерных программ для автоматического анализа или оценки личного поведения, привычек, интересов или хобби, финансового, медицинского, кредитного или иного статуса и принятия решений на основе этого (статья 73 ). (2) ). Когда на права людей оказывает значительное влияние автоматическое принятие решений PIPE, люди могут потребовать от PIPE объяснить процесс принятия решений и отказаться от автоматизированного принятия решений (статья 24 ).

III.Возможные проблемы для компаний, работающих в Китае

Принятие PIPL и неопределенность, связанная со многими аспектами закона, создают ряд потенциальных проблем и опасений для компаний, работающих в Китае. К ним относятся следующие:

• Иностранные организации могут подпадать под действие нормативных требований PIPL . PIPL применяется к деятельности по обработке данных, даже если эта деятельность осуществляется за пределами Китая, при условии, что она осуществляется с целью ведения бизнеса в Китае или оценки поведения людей в стране.В настоящее время в законе ничего не говорится о том, насколько тесной должна быть связь между обработкой данных и коммерческой деятельностью в Китае. Закон также требует, чтобы деятельность по обработке данных, осуществляемая за пределами Китая, регулировалась PIPL при «других обстоятельствах, предусмотренных законами и административными постановлениями». В настоящее время нет никаких указаний относительно того, какими будут эти обстоятельства. Иностранные организации, подпадающие под действие PIPL, должны будут соблюдать требования, включая оценку безопасности, назначение местных представителей для наблюдения за обработкой данных и отчетность перед надзорными органами в Китае, хотя точные параметры эти требования остаются неясными ( статьи 51–58 ).

• PIPL устанавливает штрафы для организаций, которые не выполняют свои обязательства по защите личной информации ( Статья 66 ) . Эти штрафы включают в себя изъятие прибыли и временную приостановку или прекращение работы электронных приложений, используемых PIPE для незаконного сбора или обработки. Компании и физические лица могут быть подвергнуты штрафу в размере не более 1 миллиона юаней (примерно 154 378 долларов США.20), если они не в состоянии исправить поведение, признанное нарушающим PIPL, при этом ответственные лица подлежат штрафам в размере от 10 000 до 100 000 юаней (приблизительно от 1543,81 до 15 438,05 долларов США). Компании и ответственные лица подвергаются особенно строгим санкциям, если нарушения являются «серьезными, Термин, не определенный в уставе. В этих случаях PIPL допускает штрафы в размере до 50 миллионов юаней (приблизительно 7 719 027,00 долларов США) или 5% годового дохода, хотя PIPL не указывает, какой параметр служит верхним пределом для штрафов.Власти также могут приостановить незаконную коммерческую деятельность, полностью прекратить всю коммерческую деятельность или отменить все административные или бизнес-лицензии. Лица, ответственные за «серьезные» нарушения, могут быть оштрафованы на сумму от 100 000 до 1 миллиона юаней (приблизительно от 15 438,29 долларов США до 154 382,93 долларов США), а также им может быть запрещено занимать определенные должности, включая директора, руководителя, менеджера высокого уровня или сотрудника по защите личной информации, за Период времени. Напротив, штрафы за серьезные нарушения GDPR могут достигать 20 миллионов евро (примерно 23 486 300 долларов США.00) или до 4% от общего глобального оборота компании за предыдущий финансовый год (в зависимости от того, что больше).

• Иностранные организации также могут подпадать под действие Закона о защите личных сведений за нарушение прав китайских граждан на личную информацию или нанесение ущерба национальной безопасности или общественным интересам Китая. Государственный департамент кибербезопасности и информатизации может помещать организации-нарушители в черный список, что приводит к ограничениям на получение личной информации для лиц, внесенных в черный список ( статья 42 ).PIPL не дает ясности в отношении того, что составляет нарушение прав китайских граждан на личную информацию или что квалифицируется как нанесение ущерба национальной безопасности или общественным интересам Китая.

Компаниям, работающим в Китае, следует обратить особое внимание на вопросы трансграничной передачи данных, поднятые PIPL:

• Иностранным организациям потребуется раскрыть определенную информацию при передаче личной информации за пределы Китая .Согласно PIPL, PIPE должны получить согласие субъекта данных до передачи, хотя требуемая форма и метод этого согласия не ясны (, статья 39, ). Субъекты, желающие передать данные, также должны предоставить субъекту данных информацию об иностранном получателе, включая его имя, контактные данные, цель и метод обработки данных, категории предоставленной личной информации и описание прав субъекта данных в соответствии с PIPL. ( Статья 39 ).

• Некоторым компаниям может потребоваться пройти государственную оценку безопасности перед передачей данных за границу. В дополнение к требованиям о согласии и раскрытии в соответствии со статьей 39, «операторы критически важной информационной инфраструктуры» и PIPE, обрабатывающие личную информацию в количествах, превышающих государственные ограничения, должны пройти государственную оценку безопасности перед передачей данных за пределы Китая (, статья 40, ). Термин «оператор критически важной информационной инфраструктуры» далее не определяется в рамках PIPL, однако этот термин широко определен в недавно принятых Правилах безопасности и защиты критически важной информационной инфраструктуры («Положения о критической информационной инфраструктуре»), которые вступает в силу 1 сентября 2021 года (версия для китайского языка доступна здесь).В соответствии со статьей 2 Положения о критически важной информационной инфраструктуре «оператор критической информационной инфраструктуры» — это компания, работающая в важных отраслях или сферах, включая общественные коммуникации и информационные услуги, энергетику, транспорт, водоснабжение, финансы, общественные услуги, услуги электронного правительства. , национальная оборона и любые другие важные сетевые объекты или информационные системы, которые могут нанести серьезный ущерб национальной безопасности, национальной экономике и средствам к существованию людей или общественным интересам в случае потери трудоспособности, ущерба или утечки данных.PIPL также не указывает пороговые значения данных, превышающие количества, предоставленные государственным отделом кибербезопасности и информации, или характер оценки безопасности, а также не ссылается на какое-либо конкретное законодательство, изданное государственным отделом кибербезопасности и информатизации для целей определения таких пороговых значений данных. ( Статья 40 ).

• PIPE за пределами Китая, которые занимаются обработкой персональных данных с целью ведения бизнеса в Китае или оценки поведения людей в стране, должны создать юридическое лицо или назначить лицо в Китае, которое будет отвечать за вопросы, связанные с личной информацией. Такие иностранные организации должны сообщать название соответствующей организации или имя представителя и метод связи в отделы, выполняющие обязанности по защите личной информации, хотя PIPL не указывает и не указывает, в какие ведомства иностранные организации должны отчитываться в таких случаях (статья 53 ).

• Компании и частные лица не могут предоставлять личную информацию, хранящуюся в Китае, иностранным судебным или правоохранительным органам без предварительного разрешения правительства Китая. Как резюмировано в нашем предыдущем предупреждении для клиентов, PIPL дополняет постоянно растущий список законов, ограничивающих предоставление данных иностранным судебным органам и государственным учреждениям, что может иметь далеко идущие последствия для трансграничных судебных разбирательств и расследований. Китайские власти будут обрабатывать запросы от иностранных судебных или правоохранительных органов на предоставление личной информации, хранящейся в Китае, в соответствии с применимыми международными договорами или принципом равенства и взаимности (, статья 41, ).PIPL не дает никаких указаний относительно того, как компании следует получать разрешение, если она желает экспортировать личные данные в ответ на запрос иностранного государственного учреждения или иностранного суда.

IV. Следующие шаги

Принятие PIPL происходит в то время, когда Китай усилил нормативный контроль над технологическими компаниями и другими организациями, имеющими большое количество конфиденциальной публичной информации, и их использованием данных. Учитывая широкий охват PIPL и его экстерриториальный охват, организациям внутри и за пределами Китая необходимо будет пересмотреть свои стратегии защиты и передачи данных, чтобы убедиться, что они не нарушают эту сеть законодательства.

Даже для компаний, которые в настоящее время имеют программы соответствия GDPR, PIPL вводит новые требования, которые в настоящее время не требуются GDPR. Примеры таких требований, уникальных для PIPL, включают, среди прочего, создание юридического лица в Китае и прохождение проверки безопасности перед экспортом персональных данных, которые достигают определенного нераскрытого порога. Как правительство обеспечивает соблюдение закона и интерпретирует его положения, еще предстоит увидеть, и программа соблюдения требований PIPL, вероятно, потребует тонкого понимания китайской культуры и деловой практики.

Компании, работающие в Китае, должны уделять пристальное внимание нормативным актам, руководящим документам и правоприменительным мерам, связанным с PIPL, поскольку китайское правительство продолжает укреплять свою правовую инфраструктуру защиты данных и обращаться за советом к знающим юристам.

___________________________

[1] Обратите внимание, что обсуждение китайского законодательства в этой публикации носит исключительно рекомендательный характер.

---

Это оповещение подготовили Коннелл О’Нил, Келли Остин, Оливер Уэлч, Нинг Нин, Фелиция Чен и Джоселин Ши.

Юристы

Gibson Dunn готовы помочь в решении любых вопросов, которые могут у вас возникнуть в связи с этими разработками. Пожалуйста, обратитесь к юристу Гибсона Данна, с которым вы обычно работаете в группе практики конфиденциальности, кибербезопасности и инноваций данных, или к следующим авторам:

Келли Остин — Гонконг (+852 2214 3788, [email protected])
Коннелл О’Нил — Гонконг (+852 2214 3812, [email protected])
Оливер Д. Уэлч — Гонконг (+852 2214 3716, owelch @ gibsondunn.com)

Группа по конфиденциальности, кибербезопасности и инновациям в данных:

Азия
Келли Остин — Гонконг (+852 2214 3788, [email protected])
Коннелл О’Нил — Гонконг (+852 2214 3812, [email protected])
Джей С. Патак — Сингапур ( +65 6507 3683, [email protected])

Европа
Ахмед Балади — сопредседатель, практика PCDI, Париж (+33 (0) 1 56 43 13 00, [email protected])
Джеймс А. Кокс — Лондон (+44 (0) 20 7071 4250 , Jacox @ gibsondunn.com)
Патрик Дорис — Лондон (+44 (0) 20 7071 4276, [email protected])
Кай Гесинг — Мюнхен (+49 89 189 33-180, [email protected])
Бернар Гринспан — Париж (+ 33 (0) 1 56 43 13 00, [email protected])
Пенни Мэдден — Лондон (+44 (0) 20 7071 4226, [email protected])
Майкл Вальтер — Мюнхен (+49 89 189 33-180 , [email protected])
Алехандро Герреро — Брюссель (+32 2 554 7218, [email protected])
Вера Лукич — Париж (+33 (0) 1 56 43 13 00, vlukic @ gibsondunn.com)
Сара Вазен — Лондон (+44 (0) 20 7071 4203, [email protected])

США
Александр Х. Саутвелл — сопредседатель, практика PCDI, Нью-Йорк (+1 212-351-3981, [email protected])
С. Эшли Берингер — сопредседатель, практика PCDI, Пало-Альто (+1 650-849-5327, [email protected])
Дебра Вонг Янг — Лос-Анджелес (+1 213-229-7472, [email protected])
Мэтью Бенджамин — Нью-Йорк (+1 212-351- 4079, [email protected])
Райан Т.Бергсикер — Денвер (+1 303-298-5774, [email protected])
Дэвид П. Бернс — Вашингтон, округ Колумбия (+1 202-887-3786, [email protected])
Никола Т. Ханна — Лос-Анджелес (+1 213-229-7269, [email protected])
Ховард С. Хоган — Вашингтон, округ Колумбия (+1 202-887-3640, [email protected])
Роберт К. Гур — Вашингтон, округ Колумбия (+ 1 202-887-3674, [email protected])
Джошуа А. Джессен — округ Ориндж / Пало-Альто (+1 949-451-4114 / + 1 650-849-5375, [email protected])
Кристин А. .Линсли — Сан-Франциско (+ 1415-393-8395, [email protected])
Х. Марк Лайон — Пало-Альто (+1 650-849-5307, [email protected])
Карл Г. Нельсон — Даллас ( +1 214-698-3203, [email protected])
Эшли Роджерс — Даллас (+1 214-698-3316, [email protected])
Дебора Л. Штайн — Лос-Анджелес (+1 213-229-7164 , [email protected])
Эрик Д. Вандевельде — Лос-Анджелес (+1 213-229-7186, [email protected])
Бенджамин Б. Вагнер — Пало-Альто (+1 650-849-5395, bwagner @ gibsondunn .com)
Майкл Ли-Мин Вонг — Сан-Франциско / Пало-Альто (+1 415-393-8333 / + 1 650-849-5393, [email protected])
Кассандра Л. Гаэдт-Шектер — Пало-Альто (+1 650-849-5203, [email protected])

© 2021 Gibson, Dunn & Crutcher LLP

Реклама адвоката: Прилагаемые материалы были подготовлены только для общих информационных целей и не предназначены для использования в качестве юридической консультации.

Подход США к защите конфиденциальности

Поскольку защита конфиденциальности данных стала приоритетом для частных лиц, правительства на всех уровнях приняли множество законов о правах на конфиденциальность, чтобы контролировать, как организации собирают, хранят и обрабатывают личную информацию, такую ​​как имена, адреса, медицинские данные, финансовые записи и кредит. Информация.

Узнайте больше о законах о конфиденциальности данных в США, а также о том, какие изменения и другие изменения следует ожидать в существующих законах, регулирующих личные данные.

Законы США о конфиденциальности данных

Как обеспечивается соблюдение конфиденциальности данных в США?

Необходимость решать современные проблемы конфиденциальности и защищать права на конфиденциальность данных — глобальная тенденция. Один из определяющих моментов наступил в мае 2018 года, когда ЕС ввел в действие Общий регламент по защите данных (GDPR), обширный законодательный акт, который применяется не только к государствам-членам ЕС, но и к любой организации, которая собирает или обрабатывает данные жителей Европы.

Проще говоря, в США нет эквивалента GDPR ЕС. Действительно, по состоянию на 2021 год США — одна из немногих демократических стран и единственный член Организации экономического сотрудничества и развития, у которой нет федерального агентства по защите данных, хотя сенатор Кирстен Гиллибранд и другие предложили его создать. В отсутствие всеобъемлющего закона о защите данных на федеральном уровне США продолжают регулировать конфиденциальность данных с помощью сочетания законов, принятых на уровне штата и федеральном уровне.

Компании должны быть осведомлены обо всем соответствующем законодательстве, прежде чем они начнут собирать или обрабатывать любые данные, которые могут считаться «личной информацией». Несоблюдение применимых законов о конфиденциальности данных может привести к судебным искам и штрафам.

Федеральные законы о конфиденциальности в США и их исполнение

Федеральные законы, которые считаются законами о конфиденциальности данных, включают:

• Закон Грэмма-Лича-Блили (GLBA): Также известный как Закон о финансовой модернизации 1999 года, GLBA требует от финансовых корпораций объяснять, как они защищают и делятся конфиденциальной информацией клиентов.
• Закон о переносимости и подотчетности медицинского страхования (HIPAA): Этот федеральный закон регулирует раскрытие и использование защищенной медицинской информации (PHI).
• Закон о защите конфиденциальности детей в Интернете (COPPA): Этот закон ограничивает сбор личной информации о детях младше 13 лет.
• Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA): Этот федеральный закон защищает конфиденциальность записей учащихся и применяется ко всем школам, получающим финансирование от Министерства образования США.
• Закон о справедливой кредитной отчетности (FCRA): Регулирует сбор и использование информации о потребителях.

На федеральном уровне Федеральная торговая комиссия (FTC) имеет широкую юрисдикцию над коммерческими организациями для предотвращения «мошеннической торговой практики», которая может включать вопросы конфиденциальности данных.FTC имеет право обеспечивать соблюдение законов о конфиденциальности, издавать нормативные акты и принимать меры для защиты потребителей. В частности, FTC может действовать против компаний, которые:

• Неспособность создать, внедрить и поддерживать разумные меры по защите данных
• Нарушение прав потребителей на конфиденциальность данных путем сбора, обработки или передачи информации о потребителях без их согласия
• Публиковать и устанавливать для потребителей неточные или запутанные политики конфиденциальности и безопасности на веб-сайтах и ​​в приложениях
• Собирать, обрабатывать, передавать или передавать личную информацию способом, не раскрытым в политике конфиденциальности.

Законы о конфиденциальности данных на уровне штата в США

Во многих штатах США также действуют собственные законы о конфиденциальности и безопасности данных.Генеральные прокуроры штата несут ответственность за соблюдение этих законов.

Нормативные акты на государственном уровне часто имеют частично совпадающие или несовместимые положения. Например, все 50 штатов США приняли законы об уведомлении об утечке данных, но существуют различия в определении личных данных и даже в том, что составляет нарушение данных. Точно так же по крайней мере 35 штатов (и Пуэрто-Рико) ввели в действие некоторые формы правил удаления данных, причем многие из этих законов конкретно касаются цифровых данных.

Вот основные законы о конфиденциальности данных по штатам, которые были приняты:

Закон Калифорнии о защите прав потребителей

Дата вступления в силу : 1 января 2020 г.

Положения : Закон о конфиденциальности данных Калифорнии был инициирован как инициатива голосования в ответ на растущую обеспокоенность общественности объемом частных данных, которые цифровые и технологические компании в Силиконовой долине незаметно собирали и продавали на протяжении десятилетий.Закон Калифорнии включает основные принципы защиты данных и требований конфиденциальности данных в GDPR Европейского Союза.

CCPA регулирует сбор, продажу и раскрытие личной информации жителей Калифорнии. Он применяется к деятельности предприятий, поставщиков услуг, обслуживающих предприятия, и третьих лиц (которые могут быть отдельными лицами или организациями). Одно из ключевых положений закона заключается в том, что предприятия должны оперативно отвечать на запросы потребителей Калифорнии относительно того, какие персональные данные о них собираются и продаются ли они или раскрываются.Закон не допускает дискриминации потребителей, которые реализуют свои права; потребителям должно быть предоставлено такое же качество обслуживания, даже если они возражают против определенного действия, такого как продажа своих данных. Поставщики услуг могут использовать данные потребителей только по направлению бизнеса, который они обслуживают, и должны удалить личную информацию потребителя из своих записей по запросу.

Область действия : CCPA применяется ко всем коммерческим предприятиям, работающим в Калифорнии, которые удовлетворяют определенным условиям, например порогу дохода.Он имеет экстерриториальный эффект, поскольку распространяется на предприятия, не относящиеся к Калифорнии, которые работают в Калифорнии.

Прочие важные факты:

• Определенные конфиденциальные данные освобождены от требований CCPA, в том числе защищенная медицинская информация (PHI), уже охваченная Законом о переносимости и подотчетности медицинского страхования (HIPAA), медицинская информация, уже охваченная Законом Калифорнии о конфиденциальности медицинской информации, и некоторая информация, охватываемая Закон Грэмма-Лича-Блайли (GLBA).
• В настоящее время закон требует, чтобы компании распространяли права, предоставляемые CCPA, на своих сотрудников. Однако на рассмотрении находится законопроект, который внесет поправки в этот закон, чтобы исключить сотрудников из определения «потребителя».
• Когда компания получает запрос об информации, собранной и хранимой о человеке, она должна убедиться, что лицо, делающее запрос, действительно является тем, кем они себя называют, прежде чем отвечать.

Штрафы за нарушения : Закон дает компаниям 30 дней на «исправление» нарушений.Неспособность устранить нарушение влечет за собой гражданский штраф в размере до 7500 долларов США за каждое умышленное нарушение и 2500 долларов США за каждое непреднамеренное нарушение.

Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)

Официальное наименование: Proposition 24

Дата вступления в силу: 1 января 2023 г., но не вступит в силу до 1 июля 2023 г.

Положения: Этот закон Калифорнии предоставляет потребителям новые права, такие как право на:

• Верная неточная информация.
• Собирать личную информацию с учетом целевых ограничений и минимизации данных.
• Получите уведомление от компаний, планирующих использовать конфиденциальную личную информацию, и попросите их прекратить. Это включает биометрическую информацию, генетические данные и любую информацию, касающуюся здоровья, сексуальной ориентации или половой жизни человека.

Сфера действия: Этот закон имеет более широкую сферу применения, чем CCPA, поскольку он предлагает следующие расширенные права для потребителей:

• Право подавать в суд на компании, когда они раскрывают пароли и имена пользователей: CPRA расширяет определение CCPA «личная информация», включая имена пользователей и пароли.
• Право отказаться от обмена информацией с третьими сторонами: Согласно CCPA, этот вопрос обсуждался, поскольку «продажа» явно не подразумевала обмен. Благодаря CPRA потребители теперь могут отказаться от продажи и передачи личной информации третьим лицам.
• Право на доступ к дополнительной информации: Потребители могут запрашивать доступ к любой личной информации, собранной компанией, а не только к информации, собранной за предыдущий 12-месячный период.

Другие ключевые факты: Этот закон также создает новое агентство по защите конфиденциальности, Калифорнийское агентство по защите конфиденциальности (CPPA), которое будет нести ответственность за обеспечение соблюдения.

Штрафы за нарушения: Штрафы могут составлять от 2500 до 7500 долларов, в зависимости от того, являетесь ли вы юридическим лицом или физическим лицом. Также предусмотрены автоматические штрафы в размере 7500 долларов за нарушение данных несовершеннолетних (до 16 лет).

Закон штата Колорадо о конфиденциальности (CPA)

Официальное наименование: SB 21-190

Дата вступления в силу: 1 июля 2023 г.

Положения: CPA применяется к «контролерам», которые работают в Колорадо или предоставляют продукты или услуги, предназначенные для жителей Колорадо, которые:

• Управлять или обрабатывать персональные данные 100 000 или более потребителей в течение одного года
• Получайте доход или скидки на услуги или товары от продажи, обработки или контроля личных данных 25000 или более потребителей

Начиная с 1 июля 2024 г. контроллеры, отвечающие вышеуказанным требованиям, должны соблюдать отказ от целевых продаж и рекламы.CPA также дает жителям Колорадо право доступа, исправления и удаления своих личных данных в дополнение к праву на переносимость данных. У диспетчеров будет 45 дней для ответа на запросы.

Область применения: В отличие от Закона Калифорнии о конфиденциальности потребителей 2018 года, CPA не имеет денежного порога для применимости. Это означает, что каждый бизнес должен учитывать этот закон. Однако это не распространяется на следующие учреждения:

• Финансовые учреждения, подпадающие под действие GLBA
• Различные типы медицинских данных
• Данные регулируются FERPA

В отличие от законов Калифорнии, CPA не исключает некоммерческие организации.

Другие ключевые факты: CPA требует от контроллеров заключения соглашений об обработке данных (DPA) с обработчиками. Контроллерам также необходимо будет проводить и регистрировать оценки защиты данных.

Штрафы за нарушения: Не существует частного права на предъявление иска, поэтому Генеральный прокурор Колорадо и окружные прокуроры будут обеспечивать исполнение CPA. Они могут потребовать денежной компенсации или судебного запрета. Однако, прежде чем принимать меры, генеральный прокурор и окружные прокуроры должны выпустить уведомление о нарушении и дать компаниям или частным лицам 60 дней на устранение предполагаемого нарушения.После января 2025 года это «право на лечение» будет заменено правом контролера запрашивать рекомендации в офисе генерального прокурора.

Закон Вирджинии о защите данных потребителей (CDPA)

Официальное наименование: SB-1392

Дата вступления в силу: 1 января 2023 г.

Положения: CDPA предоставляет потребителям шесть прав:

• Право на исправление
• Право доступа
• Право на переносимость данных
• Право на удаление
• Право на отказ
• Право на апелляцию

Область применения: Этот закон применяется к организациям, которые ведут бизнес в Вирджинии или создают услуги или продукты, предназначенные для жителей Вирджинии, которые:

• Контролирует или обрабатывает персональные данные более 100 000 потребителей в течение года
• Контролировать или обрабатывать персональные данные более 25 000 потребителей и получать не менее половины их валового дохода от продажи персональных данных

Как и CPA Колорадо, CPDA Вирджинии не имеет порогового значения дохода.Это означает, что предприятия любого размера должны обращать внимание на этот закон.

Определение «потребитель» не включает лиц, действующих по найму или в коммерческом контексте. Это отличает его от CPRA, который включает данные о сотрудниках. Соответственно, предприятиям не нужно будет учитывать данные сотрудников при принятии решения о том, применяется ли к ним CPDA.

Прочие ключевые факты: Как GDPR ЕС и CCPA Калифорнии, CDPA имеет положение, ограничивающее сбор данных «адекватным, актуальным и разумно необходимым в отношении целей, для которых данные обрабатываются.”

Штрафы за нарушения: Как и CPA Колорадо, CDPA Вирджинии не имеет частного права на предъявление иска. Правоприменение — это ответственность генерального прокурора. У контролера есть 30 дней на устранение нарушения после того, как Генеральный прокурор уведомит контролера о том, что меры будут приняты. Если контролер не устранит нарушение в течение этого периода, Генеральный прокурор может оштрафовать его до 7500 долларов за каждое нарушение.

Законопроект о конфиденциальности в Интернете штата Невада (SB260)

Официальное наименование: BDR-52-253

Дата вступления в силу: 1 октября 2021 г.

Положения: Этот закон предоставит жителям Невады более широкое право отказаться от продажи своей личной информации.Он также предъявляет новые требования к «брокерам данных», которые определяются как субъекты, основным средством деятельности которых является продажа информации о потребителях от операторов или других брокеров данных. Брокеры данных должны установить специальный адрес, через который потребители могут потребовать у брокера данных прекратить продажу их информации. Посредник данных должен будет ответить в течение 60 дней с момента получения.

Объем: Закон расширяет объем права на отказ, но объем «закрытой информации» уже, чем «личная информация», определяемая аналогичными законами.

Ограничение «закрытой информации»:

• Имя и фамилия
• Домашний / физический адрес
• Адрес электронной почты
• Номера телефонов
• Номера социального страхования
• Идентификаторы, позволяющие связаться с человеком лично или через Интернет

Прочие важные факты: Законопроект вносит поправки в положения Невады об уведомлениях о конфиденциальности в Интернете, такие как NRS 603A.300-360.

Штрафы за нарушения: Генеральному прокурору Невады поручено обеспечить соблюдение этого закона.Суд вынесет временный или постоянный судебный запрет или гражданский штраф в размере до 5000 долларов за нарушение.

Закон штата Массачусетс о конфиденциальности данных

Официальное название : Стандарты защиты личной информации жителей Содружества (201 CMR 17.00)

Дата вступления в силу : 1 марта 2010 г.

Положения : Этот закон устанавливает требования для защиты жителей Массачусетса от кражи личных данных и мошенничества.

Объем : Любая организация, которая лицензирует, хранит или поддерживает персональные данные о жителях Массачусетса, обязана внедрить комплексную программу информационной безопасности.

Прочие важные факты:

• Закон требует от компаний иметь специального человека для запуска программы защиты данных и проведения регулярного обучения сотрудников.
• Закон также требует, чтобы компании предпринимали «разумные шаги» для проверки того, что сторонние поставщики услуг, имеющие доступ к личной информации, могут защитить эту информацию.
• Закон защищает безопасность и конфиденциальность личной информации как потребителей, так и сотрудников, которая включает имя, фамилию, номер социального страхования, номер водительских прав, номер выданной штатом идентификационной карты, номер финансового счета, номер кредитной или дебетовой карты и любой код доступа, позволяющий получить доступ к финансовой информации человека.Однако он исключает информацию, полученную из общедоступных источников.
• Массачусетс также работает над регулированием конфиденциальности данных, аналогичным CCPA. В случае принятия SD.341 «Закон о конфиденциальности данных потребителей» должен вступить в силу 1 января 2023 года.

Штрафы за нарушения : Управление по делам потребителей и бизнес-регулированию отвечает за исполнение. Каждое умышленное нарушение закона может повлечь за собой гражданский штраф в размере до 5000 долларов США плюс «разумные расходы на расследование и судебное разбирательство такого нарушения, включая разумные гонорары адвокатам».”

Закон Миннесоты о конфиденциальности данных

Официальное название : Закон штата Миннесота о практике обработки данных (MGDPA) (Minn. Stat. § 13)

Дата вступления в силу : 1979

Положения : Этот статут Миннесоты защищает право людей на доступ к правительственным данным и контролирует сбор, хранение, использование и распространение частных данных. Он устанавливает систему классификации для различения различных типов информации, например данных об образовании и данных правоохранительных органов.Кроме того, данные о физических лицах помечаются как общедоступные или закрытые, а данные, не относящиеся к отдельным лицам, помечаются как закрытые или защищенные закрытые

Сфера действия : Закон применяется к любому правительственному учреждению Миннесоты.

Прочие важные факты:

• Закон требует, чтобы каждое государственное агентство назначило «ответственный орган», который установит процедуры, обеспечивающие «получение и выполнение запросов на данные надлежащим и своевременным образом». Если государственное учреждение хочет собрать частные или конфиденциальные данные физического лица, оно должно предоставить этому лицу уведомление о конфиденциальности под названием «Теннессен»
.
• В случае спора между государственным учреждением и лицом относительно методов обработки данных, это лицо может запросить консультативное заключение у Уполномоченного по административным вопросам.

Штрафы за нарушения : Штрафы могут включать гражданский иск за умышленное нарушение или гонорары адвоката, если государственное учреждение не выполняет консультативное заключение. За умышленные нарушения суд также может наложить уголовное наказание на государственных служащих, временно отстранить их от должности или уволить.

Предлагаемые законы штата США о конфиденциальности данных

Все вышеперечисленные законы о конфиденциальности данных были приняты, но есть законы, которые обсуждаются.К ним относятся следующие:

Закон штата Огайо о неприкосновенности частной жизни (OPPA)

Официальное название : House Bill 376

Описание: Этот законопроект аналогичен законодательству, принятому в Калифорнии, Вирджинии и Колорадо. Если он будет принят, он предоставит жителям Огайо определенные цифровые права и наложит обязательства на любой бизнес, который собирает персональные данные потребителей Огайо.

Закон о конфиденциальности потребителей Северной Каролины (CPA)

Официальное название : Законопроект Сената 569

Описание: В случае принятия этот закон предоставит потребителям Северной Каролины следующие права:

• Право на информацию и доступ
• Право на исправление
• Право на удаление
• Право на отказ
• Частное право иска

Он будет применяться ко всем предприятиям, которые нацеливают свои услуги и продукты на жителей Северной Каролины, и это:

• Ежегодно обрабатывать или контролировать персональные данные 100 000 или более потребителей
• Обрабатывать или контролировать персональные данные не менее 25 000 потребителей и получать более половины валового дохода от продажи этих персональных данных.

Закон штата Род-Айленд о прозрачности данных и защите конфиденциальности

Официальное название : HB 5959

Описание: В этом законопроекте описываются методы обмена информацией и требуется прозрачность в способах сбора данных о потребителях, а также требуется, чтобы определенные компании раскрывали информацию о политике конфиденциальности. В случае принятия закон поможет потребителям идентифицировать личную информацию, собранную, переданную или проданную третьим лицам поставщиками онлайн-услуг и коммерческими веб-сайтами.

Закон Пенсильвании о защите данных потребителей

Официальное название : House Bill 1126

Описание: Этот закон применяется к коммерческим компаниям, которые соответствуют всем следующим критериям:

• Вести бизнес в Пенсильвании
• Собирать, передавать или продавать личную информацию потребителей
• Определить самостоятельно или совместно с другими цели и средства обработки личной информации потребителей
• Соответствует одному из следующих требований:
  • Получают половину своего годового дохода от продажи личной информации потребителей
  • Ежегодно покупайте, делитесь или продавайте (самостоятельно или с другими) личную информацию 50 000 потребителей, устройств или домохозяйств
  • Иметь годовой валовой доход не менее 10 миллионов долларов

Нью-Джерси — Три законопроекта о конфиденциальности данных

Официальные названия: A5448, A3283 и A3255

Описание:

A5448 и A3255 преследуют схожие цели: они требуют, чтобы компании уведомляли потребителей о сборе и раскрытии информации, позволяющей установить личность, и позволяли потребителям отказаться от нее.

A3283, Закон штата Нью-Джерси о раскрытии информации и прозрачности подотчетности (NJ DaTA), установит требования к раскрытию и обработке информации, позволяющей установить личность. Законопроект также предусматривает создание Управления по защите данных и ответственному использованию в Отделе по делам потребителей.

Закон штата Массачусетс о конфиденциальности информации (MIPA)

Официальное название : S.46

Описание: Этот законопроект представляет собой измененную версию Закона о конфиденциальности населения штата Вашингтон.Это защитит потребителей от несанкционированного сбора, использования и монетизации их личной информации, включая данные о местоположении и биометрические данные; запретить дискриминацию на основе личной информации и защитить работников от необоснованного электронного наблюдения за работой.

Закон о защите конфиденциальности потребителей на Гавайях

Официальное наименование : SB 418

Описание: Предлагаемый законопроект предоставит потребителям право доступа, удаления и отказа от продажи своей личной информации.Как и в CCPA, у него есть широкое определение «личной информации». Он имеет те же основные средства защиты и права, что и CCPA, но не определяет, что такое «бизнес», поэтому не исключает предприятия по размеру.

Закон штата Нью-Йорк о конфиденциальности потребителей (NYPA)

Официальное название: Законопроект Сената S567

Описание: Предлагаемый закон штата Нью-Йорк о конфиденциальности данных очень похож на CCPA. Это дало бы людям возможность узнать, какие данные о них собрал бизнес и кому они ими поделились, запросить у компании исправление или удаление данных и отказаться от передачи или продажи их данных третьим сторонам.NYPA дополнит существующий в Нью-Йорке закон об уведомлении об утечке данных, расширив защиту личной информации.

Предлагаемый законопроект устанавливает высокие стандарты защиты конфиденциальности данных, такие как:

• Он налагает фидуциарные обязанности на любое юридическое лицо, которое собирает, продает или лицензирует персональные данные, и широко определяет эти обязанности. Компании должны защищать личные данные потребителей от любого затрагивающего их риска. Более того, в нем говорится, что фидуциарная ответственность данных заменяет «любые обязательства перед собственниками или акционерами.”
• Он сильнее законов других штатов в том смысле, что требует от предприятий ставить конфиденциальность своих клиентов выше собственной прибыли. В этом законе о конфиденциальности содержится очень противоречивая линия, в которой говорится, что организации должны «действовать в лучших интересах потребителя». Однако он не объясняет, что компании на самом деле должны понимать об интересах жителей Нью-Йорка и других клиентов.
• Он предлагает частное право иска — дает потребителям право подавать в суд на компании непосредственно в связи с нарушением конфиденциальности, вместо того, чтобы оставлять исполнение закона Генеральному прокурору штата.

Заключение

штатов США вводят в действие свои собственные правила конфиденциальности и кибербезопасности, поскольку, в отличие от ЕС, США еще не приняли всеобъемлющий федеральный закон о конфиденциальности данных. Ситуация будет и дальше усложняться по мере того, как в ближайшие месяцы и годы вступят в силу новые законы штатов. Чтобы избежать суровых штрафов, судебных исков и других последствий несоблюдения требований, организациям следует внимательно изучить законы о конфиденциальности данных в США и убедиться, что они соответствуют всем применимым требованиям.

F.A.Q.

Какие законы США предъявляют требования к защите конфиденциальности данных?

В отсутствие всеобъемлющего федерального законодательства, регулирующего конфиденциальность данных, в США действуют отраслевые законы и законы штата, которые контролируют обмен отдельными типами персональных данных. Эти законы включают:

• Закон о конфиденциальности 1974 г. — Защищает личную информацию, хранящуюся в федеральных агентствах
• Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Закон о медицинских информационных технологиях для экономического и клинического здравоохранения (HITECH) — Защищает личную медицинскую информацию (PHI)
• Закон Грамма – Лича – Блайли (GLBA) — Защищает финансовую информацию
• Закон о защите конфиденциальности детей в Интернете (COPPA) — Защищает конфиденциальность детей
• Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) — Защищает личную информацию учащихся
• Закон Калифорнии о конфиденциальности потребителей (CCPA) — Защищает права на конфиденциальность жителей Калифорнии
• Закон штата Нью-Йорк SHIELD — Защищает личную и частную информацию жителей штата Нью-Йорк

Какие типы данных покрывает U.S. законы о конфиденциальности?

Информация, которая считается конфиденциальной по законам США, включает:

• Информация, позволяющая установить личность (PII) — Информация, которая может быть использована для идентификации, установления контакта или определения местонахождения человека или отличия одного человека от другого, например, имя, адрес и номер социального страхования
• Личная медицинская информация (PHI) — Информация о состоянии здоровья, истории болезни, страховой информации и другие личные данные, которые собираются поставщиками медицинских услуг и могут быть связаны с определенным лицом
• Личная финансовая информация (PIFI) — Номера кредитных карт, реквизиты банковского счета или другие данные, касающиеся финансов человека
• Записи учащихся — Оценки, стенограммы, расписание занятий, платежные данные и другие документы об образовании

Что защищает Закон о конфиденциальности 1974 года?

Закон о неприкосновенности частной жизни 1974 года регулирует порядок ведения федеральными агентствами учетных записей федерального правительства и требует от федеральных агентств соблюдения различных строгих требований к ведению учета.Это позволяет отдельным лицам получать доступ к записям о себе, узнавать, были ли эти записи раскрыты, и запрашивать исправления или дополнения к этим записям, если только эти записи не освобождены по закону.

В скольких штатах США действуют законы о конфиденциальности данных?

По меньшей мере в 16 штатах действуют законы о конфиденциальности данных, а в трех из них действуют всеобъемлющие законы о конфиденциальности данных потребителей. Калифорния приняла хорошо известный Калифорнийский закон о защите прав потребителей (CCPA), который побудил аналогичные законы в Колорадо и Вирджинии.

Распространяются ли федеральные законы США и законы штата о конфиденциальности на иностранные компании?

Это зависит от нескольких факторов, включая влияние на людей, влияние на торговлю в США и наличие у компании дочерней компании в США. Иностранные компании могут подпадать под действие законов США, если они собирают, обрабатывают или передают личную информацию Жители США. Например, если иностранная компания ведет бизнес в Калифорнии и собирает личную информацию жителей Калифорнии, в то время как потребители находятся в Калифорнии, она подпадает под действие закона CCPA.

Чем законы о конфиденциальности в США отличаются от GDPR ЕС?

GDPR — это всеобъемлющий мандат на конфиденциальность данных, который применяется ко всем государствам-членам и любой компании в мире, которая собирает или обрабатывает данные жителей ЕС. В США нет эквивалентного закона; вместо этого конфиденциальность данных регулируется лоскутным одеялом из отраслевых федеральных законов и законов различных штатов.

Стоит упомянуть одно конкретное право, защищаемое GDPR: право быть забытым, то есть право требовать удаления личной информации из записей организации.Это право часто считается несовместимым с правом на свободу слова, закрепленным в Первой поправке к Конституции Соединенных Штатов, поскольку принуждение к исключению информации из списка может рассматриваться как сужение свободы слова и создание риска цензуры. Тем не менее, некоторые законы в США действительно предлагают в той или иной форме право на забвение. Например, COPPA дает родителям право просматривать и удалять информацию о своих детях, а CCPA позволяет жителям Калифорнии запрашивать удаление своих записей с определенными ограничениями.

Вице-президент по работе с клиентами в Netwrix. Майк отвечает за обслуживание клиентов в целом. Он имеет разнообразный опыт, накопленный за 20 лет работы в индустрии программного обеспечения, занимая должности генерального директора, главного операционного директора и вице-президента по управлению продуктами в нескольких компаниях, специализирующихся на безопасности, соблюдении требований и повышении производительности ИТ-команд.

Конфиденциальность | УСАГов

Узнайте, как защитить вашу личную информацию от нежелательного использования.

Защитите вашу конфиденциальность

Нет никакой гарантии, что организации будут защищать вашу личную информацию так, как вам хочется. Даже при строгих мерах безопасности кто-то может взломать базы данных компании. Утечки данных делают вас уязвимыми для фишинга или кражи личных данных.Эти советы помогут защитить вашу конфиденциальность:

• Ознакомьтесь с политиками конфиденциальности компаний, с которыми вы взаимодействуете. Ищите заявления о конфиденциальности на веб-сайтах, в рекламных материалах и в формах, которые вы заполняете.
• Узнайте, как организации защищают вашу информацию от хакеров и утечки данных.
• Отказ от подписки организаций.
• Создавайте надежные пароли для своих учетных записей в Интернете. Обновите свои пароли, особенно если компания сообщает об утечке данных.
• Используйте VPN, когда находитесь в общедоступном Wi-Fi. VPN шифрует любые данные, которые вы отправляете по сети.
• Отключите файлы cookie, чтобы компании не могли отслеживать ваши привычки просмотра в Интернете.
• Узнайте в вашем штате или местном агентстве по защите прав потребителей, есть ли в вашем штате законы, защищающие вашу конфиденциальность.

Конфиденциальность медицинской информации

Узнайте о своих правах на неприкосновенность частной жизни и о том, как подать жалобу о нарушении конфиденциальности.

Знайте свои права

Закон о переносимости и подотчетности медицинского страхования (HIPAA) защищает ваши медицинские записи.HIPAA:

• Определяет ваши права на получение медицинской информации
• Устанавливает правила и ограничения на то, кто имеет разрешение на просмотр ваших медицинских записей.

Защитите свою медицинскую конфиденциальность

Примите меры для защиты конфиденциальности своего здоровья:

• Прочтите мелкий шрифт на формах медицинского разрешения. Проверьте пункты, раскрывающие вашу медицинскую информацию.
• Запросите копию своей медицинской документации, чтобы знать, что в ней содержится.
• Ознакомьтесь с политикой конфиденциальности на веб-сайтах, посвященных вопросам здоровья, в опросах и проверках состояния здоровья.

Сообщить о нарушении медицинской конфиденциальности

Если врач, страховщик или поставщик медицинских услуг нарушили ваши права HIPAA:

У вас есть вопрос?

Задайте реальному человеку любой вопрос, связанный с государством, бесплатно. Они дадут вам ответ или сообщат, где его найти.

Последнее обновление: 7 сентября 2021 г.

Скоро вступит в силу закон Китая о защите личной информации

20 августа 2021 г. Постоянный комитет Всекитайского собрания народных представителей Китайской Народной Республики («КНР») принял Личное Закон о защите информации («PIPL»), который вступит в силу 1 ноября 2021 года.

PIPL будет работать вместе с Законом о кибербезопасности («CSL») и Законом о безопасности данных («DSL») для создания более широкой нормативной архитектуры, регулирующей кибербезопасность и защиту конфиденциальности данных в Китае. После вступления в силу этот новый закон окажет значительное влияние на практику соблюдения данных как отечественными, так и транснациональными компаниями в той степени, в которой они обрабатывают или используют личную информацию лиц, находящихся в Китае.

Как первый всеобъемлющий закон о защите личной информации в Китае, PIPL определяет объем личной информации; разъясняет правовые основы обработки персональной информации; устанавливает обязанности и ответственность, возлагаемые на переработчиков; и предъявляет строгие требования к локализации данных, защищая интересы Китая в случае трансграничной передачи личной информации.Ниже приводится краткое изложение основных аспектов закона.

Экстерриториальное применение PIPL

В дополнение к обработке личной информации обработчиками, осуществляемой в КНР, PIPL также имеет экстерриториальное приложение для охвата обработки личной информации людей, находящихся в КНР, если такая обработка осуществляется за пределами КНР при любом из следующих обстоятельств:

• для предоставления товаров или услуг физическим лицам, находящимся на территории Китая;
• для анализа или оценки поведения физических лиц, находящихся на территории Китая; или
• при любых других обстоятельствах, предусмотренных законом или нормативными актами. ¹

Таким образом, в соответствии с PIPL, иностранные компании (даже не представленные в Китае), занимающиеся обработкой личной информации физических лиц, находящихся в Китае, связаны законом и должны создать специальную организацию или назначить агента или назначенного представитель в Китае, ответственный за решение связанных вопросов. Имя и контактные данные такого местного агента или представителя должны быть предоставлены соответствующему органу. ²

Объем личной информации, конфиденциальной личной информации и обработчика

В соответствии с PIPL, личная информация определяется как любая информация (например, видео, голос или изображения), относящаяся к любому идентифицированному или идентифицируемому физическому лицу, независимо от того, находится ли она в электронной форме или в любой другой форме, за исключением любых анонимных Информация. ³

Впервые PIPL выдвигает понятие «обработчик личной информации», относящееся к организациям и частным лицам, которые самостоятельно решают цель и метод обработки личной информации. ⁴ «Обработка личной информации» включает, помимо прочего, сбор, хранение, использование, обработку, передачу, предоставление, раскрытие и удаление личной информации. ⁵

В дополнение к личной информации, как это определено в CSL, PIPL определяет «конфиденциальную личную информацию» как личную информацию, утечка или незаконное использование которой может легко привести к нарушению личного достоинства физического лица или причинению вреда личным или другим лицам. сохранность имущества. ⁶ Это первый национальный закон в КНР, который определяет конфиденциальную личную информацию и, что более важно, устанавливает соответствующие обязательства для процессоров, обрабатывающих такую ​​информацию. ⁷

Правовые основы обработки личной информации

С момента выпуска CSL «уведомление и согласие» долгое время были единственным законным основанием для обработки личной информации. PIPL впервые на уровне национального законодательства расширяет основания для обработки личной информации, добавляя следующие базы:

• , где необходимо заключить или исполнить договор или осуществить управление человеческими ресурсами;
• , если это необходимо для выполнения установленных законом обязанностей или установленных законом обязательств;
• , где необходимо реагировать на чрезвычайную ситуацию в области общественного здравоохранения или защищать интересы или безопасность человека в чрезвычайной ситуации;
• , где необходимо осуществлять деятельность в общественных интересах;
• , где соответствующая личная информация, которая была раскрыта соответствующим лицом или иным образом раскрыта на законных основаниях, обрабатывается в разумных пределах в соответствии с законом; и
• другие обстоятельства, предусмотренные законами или административными постановлениями. ⁸

Кроме того, PIPL устанавливает подробные требования к уведомлению и согласию. В частности, обработчик личной информации должен получить конкретное согласие от вовлеченного лица, если: (а) обрабатывается конфиденциальная личная информация; (б) личная информация предоставляется обработчиком другому обработчику; (c) обрабатываемая личная информация раскрывается публично; или (г) личная информация передается за пределы Китая. ⁹

Еще неизвестно, как эти положения будут интерпретироваться и применяться.Например, в контексте внутреннего расследования, если такое расследование проводится при содействии отдела кадров, является ли это освобождением от управления человеческими ресурсами? Кроме того, является ли передача внутри группы (например, от одной компании группы к другой) передачей «другому обработчику», для которой может потребоваться конкретное согласие вовлеченного лица? Еще одна серая зона — это передача данных от портфельной компании, контролируемой фондом прямых инвестиций, в сам фонд. Кроме того, неясно, какие обстоятельства могут подпадать под правовые основания «чрезвычайной ситуации» и «интересов или безопасности человека».Многонациональным компаниям и финансовым спонсорам необходимо будет внимательно следить за соответствующими положениями и правилами реализации PIPL для получения дальнейших указаний.

Обязанности процессора

PIPL устанавливает нормативную базу, которая налагает существенные обязательства и ответственность на всех обработчиков личной информации, в том числе:

• разработка систем внутреннего управления и операционных процедур;
• осуществляет секретное управление личной информацией;
• принимает соответствующие технические меры безопасности, такие как шифрование и деидентификация;
• разумно определяет оперативные разрешения для личной информации и обеспечивает регулярное обучение и тренинги по вопросам безопасности для оперативного персонала;
• разработка и реализация планов реагирования на инциденты безопасности, связанные с личной информацией;
• проведение регулярных комплаенс-аудитов; и
• , принимая другие меры безопасности, предусмотренные нормативными актами.

Обработчик личной информации, который предоставляет важную услугу интернет-платформы, имеет большую базу пользователей и / или управляет сложными типами предприятий, дополнительно необходим для создания надежной программы обеспечения соответствия данных (включая подготовку политики соответствия требованиям защиты личной информации) и установления / назначить независимый орган для надзора за его выполнением. Такие обработчики также должны активно отслеживать поведение поставщиков услуг или продуктов на своей платформе, которые могут нарушать какие-либо законы или административные правила при проведении операций по обработке. ¹⁰ Однако неясно, сколько пользователей считается «большой пользовательской базой» и как определить сложность типов бизнеса.

Совместная обработка и доверенная обработка

PIPL также оговаривает особые обязательства по специальной обработке, включая совместную обработку и порученную обработку.

• Совместная обработка. PIPL предусматривает, что, если два или более обработчика совместно определяют цель и метод обработки личной информации, их соответствующие права и обязанности должны быть согласованы.Закон налагает солидарную ответственность на совместных обработчиков, если совместная обработка данных нарушает права и интересы в отношении личной информации и приводит к ущербу. ¹¹
• Доверенная обработка. Если процессор поручает обработку личной информации третьей стороне, в соответствии с PIPL: (a) процессор должен контролировать действия такой третьей стороны по обработке; и (b) такая доверенная третья сторона обязана принимать необходимые меры для защиты личной информации в соответствии с PIPL и помогать процессору соблюдать закон. ¹² Без согласия обработчика доверенной стороне запрещается повторно поручать другим обрабатывать личную информацию. ¹³ Похоже, что в законе не указывается, возникнет ли солидарная ответственность в случае нарушения закона любой из сторон.

Такие требования требуют особого внимания, поскольку на практике компании могут время от времени работать с третьими сторонами или привлекать их для выполнения операций по обработке данных.

Требования к локализации данных и трансграничной передаче личной информации

В соответствии с CSL и DSL, PIPL также требует, чтобы операторы критически важной информации инфраструктуры, а также обработчики, которые обрабатывают личную информацию, которая достигает определенного порогового значения (которое PIPL не определяет), должны хранить личную информацию на территории Китай.Если трансграничная передача личной информации действительно необходима, такая передача должна пройти оценку безопасности, проводимую Администрацией киберпространства Китая (« CAC ») и другими правоохранительными органами. ¹⁴

Другие обработчики личной информации могут осуществлять трансграничную передачу личной информации при выполнении одного из следующих требований: (a) прохождение оценки безопасности CAC; (b) получение сертификата безопасности данных профессиональным органом, признанным CAC; (c) заключение соглашения с зарубежным получателем с положениями, регулирующими права и обязанности сторон на основе типового контракта, который должен быть выпущен CAC; или (d) другие требования, предусмотренные соответствующими законами и нормативными актами. ¹⁵

Повышенные штрафы

PIPL налагает повышенные штрафы за нарушение закона, что может привести к административному штрафу в размере до 50 миллионов юаней или 5% от оборота обработчика за предыдущий год, конфискации незаконной прибыли, прекращению работы для исправления или аннулированию разрешений на деятельность или бизнес-лицензий. ¹⁶ Ответственное лицо или другие лица, несущие прямую ответственность, также могут быть привлечены к ответственности и подлежат штрафу в размере до 1 миллиона юаней.Таким лицам может быть также запрещено выполнять обязанности директора, руководителя, высшего руководства или сотрудника по защите личной информации в течение установленного периода времени. ¹⁷

PIPL также налагает деликатную ответственность на обработчиков, нарушающих права и интересы в отношении личной информации. PIPL возлагает бремя доказывания на ответчика, обрабатывающего личную информацию, в гражданском иске для облегчения иска о возмещении ущерба. ¹⁸ Если такое нарушение затрагивает большое количество лиц, обработчики могут столкнуться с гражданскими исками или уголовными обвинениями, предъявленными группами потребителей, организациями, уполномоченными CAC и / или прокурором. ¹⁹

Выводы

Поскольку PIPL вступит в силу 1 ноября 2021 года, для любой компании, которая занимается обработкой личной информации людей, находящихся в КНР, критически важно провести сопоставление данных и анализ пробелов, чтобы оценить, нужно ли ей развивать или обновлять свои данные. политика конфиденциальности и процедуры для полного соответствия PIPL. PIPL отражает тенденцию к сближению международных правил конфиденциальности данных (таких как Общее положение о защите данных и Закон о конфиденциальности потребителей Калифорнии) и принимает некоторые международные принципы защиты конфиденциальности данных.Поэтому для компаний и покупателей финансовых услуг, которые обрабатывают личную информацию в нескольких юрисдикциях, важно пересмотреть свои политики и методы обеспечения конфиденциальности данных с целью согласования процедур с требованиями различных регулирующих органов.

_{1 PIPL, ст. 3.
2 PIPL, ст. 53.
3 PIPL, Ст. 4.
4 PIPL, ст. 73.
5 PIPL, Ст. 4.
6 PIPL, ст. 28.
7 PIPL, Ст. 29, 30, 32, 55.
8 PIPL, Art. 13.
9 PIPL, ст. 23, 25, 29, 39.
10 PIPL, ст. 58.
11 PIPL, Ст. 20.
12 PIPL, ст. 21, 59.
13 PIPL, ст. 21.
14 PIPL, ст. 40. Обратите внимание, что оценка безопасности может быть отменена в соответствии с законодательством, административными постановлениями или органом по кибербезопасности.
15 PIPL, Art. 38.
16 PIPL, Ст. 66.
17 Там же.
18 PIPL, ст. 69.
19 PIPL, Ст. 70.}

Майкл Ли (White & Case, юрист, Гонконг) и Сюэ Фэн (White & Case, юридический консультант, Пекин) внесли свой вклад в разработку данной публикации.

Эта публикация предоставлена ​​для вашего удобства и не является юридической консультацией. Эта публикация защищена авторским правом.
© 2021 ТОО «Уайт энд Кейс»

.