Разрешение на обработку персональных данных на сайте с 1 июля 2020: Как работать с персональными данными сотрудников в 2021 году из-за изменений в законах

Чек-лист по обработке и хранению персональных данных

Марина Суворова

Редактор блога

Статья

12 августа 2021

Время чтения

11 минут

Проблема утечки персональных данных актуальна как для государственных органов, так и для частных компаний. Одной из основных причин того, что конфиденциальная информация попадает к третьим лицам, является недобросовестное отношение операторов и субъектов к ее защите.

К понятию «Персональные данные» можно отнести не только личные данные конкретного человека (ФИО, адрес, телефон), но и любую другую информацию, которая прямо или косвенно его касается. Правильная обработка и хранение персональных данных нивелируют вероятность попадания этой информации к третьим лицам. Что необходимо знать об этом, чтобы избежать утечки ПДн?

Что относят к персональным данным?

К ПДн относится любая информация, касающаяся физического лица, которое идентифицировано или его можно идентифицировать. В ФЗ РФ №152 четко прописано, кто и на каких условиях имеет право получать данные и оперировать ими.

При регистрации на различных сайтах, интернет-магазинах и социальных сетях пользователь указывает свои персональные данные и дает согласие на их обработку.

Однако оператор не может использовать полученную информацию в каких-либо других целях, кроме тех, ради которых и зарегистрировался непосредственно сам пользователь. Это означает, что если покупатель зарегистрировался на сайте интернет-магазина и совершил покупку, то его персональные данные не могут далее использоваться этим интернет-магазином для каких-либо других целей и тем более передаваться третьим лицам.

Закон четко регулирует вопрос обработки и хранения персональных данных, обязывая операторов по сбору ПДн выполнять целый перечень требований. Если требования игнорируются, на оператора будет наложен штраф. Меры по защите персональных данных должны неукоснительно выполнять все, кто работает с такой информацией – как юридические, так и физические лица.

Виды персональных данных

Все сведения персонального характера делятся на виды в зависимости от степени их конфиденциальности, сложности их получения и прав на использование третьей стороной.

Иные персональные данные – это ФИО, адрес проживания, регион проживания, место работы, паспортные данные, номер телефона и прочее. В категорию персональных данных попадают комбинации — то есть, например, фамилия и имя без адреса не позволяют идентифицировать человека в полном объеме. А вот наличие кроме ФИО информации о его месте проживания уже указывает на конкретное физическое лицо, то есть является его ПДн.

Биометрические ПДн– при помощи этих данных также можно установить личность человека. К биометрическим данным относятся физиологические и биологические отличительные черты того или иного человека. Это могут быть отпечатки пальцев, какие-либо анатомические особенности (родимое пятно, родинка, хромота), ДНК, радужная оболочка глаз. В государственных органах чаще всего в виде биометрического идентификатора выступают отпечатки пальцев, которые используют при изготовлении паспортов.

Персональные данные, разрешенные для распространения (до 1 марта 2021 года — общедоступные данные) – данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Это могут быть, например, ФИО, телефон, электронный адрес.

Пользователь может запретить или разрешить распространение своих ПДн всем или определенному перечню операторов ПДн. SberCloud не распространяет ПДн пользователя, которые тот оставляет на сайте, и обеспечивает их надежную защитуСинкина Надеждаэксперт по методологии кибербезопасности Центра киберзащиты SberCloud, Lead Auditor ISO/IEC 27001:2013

Персональные данные обезличенного типа представляют собой информацию, по которой невозможно определить конкретное физическое лицо без дополнительных данных.

Специальные ПДн – это сведения из медицинской документации, данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, доступ к которым у третьих лиц ограничен. Чтобы получить доступ к специальным ПДн третьему лицу для целей, не связанных с государственным регулированием, необходимо оформить соответствующее разрешение.

Субъекты и операторы персональных данных

К субъектам персональных данных относится физическое лицо, чьи данные обрабатываются. Оператор – соответственно, сторона, обрабатывающая эти данные. Субъектом считается, например, покупатель, который приобретает в интернет-магазине холодильник. Чтобы заказать курьерскую доставку этой бытовой техники, человеку придется указать свои личные данные, адрес, телефон. Информация позволяет идентифицировать покупателя, поэтому относится к персональным данным.

В роли оператора может выступать как компания, так и физическое лицо. Оператор собирает данные покупателя, обрабатывает их и хранит. Также он определяет цели такой обработки.

Уровни защищенности ПДн и типы угроз

Тип угроз	Уровень защищенности	Примечания	Техническая реализация
I тип – самые опасные угрозы. Они возникают в системном ПО — например, операционной системе.	4 уровень – обеспечивает защиту общедоступных и иных сведений с 3 типом угроз. Технически самый простой в реализации: например, установка антивируса и регулярное обновление ПО.	Защита общедоступных и иных сведений.	Установка антивируса и регулярное обновление ПО. Обеспечение сохранности носителей данных. Составление списка работников оператора, которые получают доступ к персональным данным.
II тип – угрозы, которые возникают в прикладном ПО, например, в установленном софте.	3 уровень – защищает не только общедоступную информацию, но и специальные и биометрические данные, работает при 2 и 3 уровне угроз. Реализован через регулярный поиск и устранение уязвимостей в оборудовании и ПО, ограничении доступа к настройкам информационной систем		Выполнение всех требований, предусмотренных для четвертого уровня защищенности. Назначение должностного лица, которое будет нести ответственность за обеспечение безопасности данных в информационной системе.
III тип – угрозы, не связанные с ни с прикладным, ни с системным ПО: уязвимости в оборудовании.	2 уровень – защищает данные любого типа. Для некоторой информации допускает 1 тип угроз. Реализован через установку системы обнаружения вторжений, защиты системы от спама, организации резервного копирования информации.		Выполнение всех требований, предусмотренных для третьего уровня защиты. Ограничение доступа к данным (только уполномоченные лица).
	1 уровень – защищает данные специального и биометрического типа. Используется при 1 типе угроз. Реализуется через стабильную работу серверов и инсталляции на ПК софта, ранее разрешенного службой безопасности.		Выполнение всех требований, предусмотренных для второго уровня защищенности. Обеспечение автоматической регистрации в электронном журнале безопасности.

Хранение и обработка ПДн: что требует законодательство

Чтобы ориентироваться в основных правилах, касающихся требований по защите ПДн, мы подготовили список соответствующих постановлений, приказов и методических рекомендаций от уполномоченных государственных органов.

Правительство

1. Постановление от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3. Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
4. Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
5. Постановление Правительства РФ от 18.09.2012 N 940 «Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю».

Роскомнадзор

1. Приказ Роскомнадзора от 15.03.2013 N 274 (ред. от 14. 01.2019) Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.
2. Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ») (Зарегистрировано в Минюсте России 10.09.2013 N 29935).

ФСТЭК

1. Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 28.05.2019) «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (Зарегистрировано в Минюсте России 31.05.2013 N 28608) (с изм. и доп., вступ. в силу с 01.01.2021).
2. МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, утв. 5 февраля 2021 г..
3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 2008 год.
4. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375).

ФСБ

1. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21.02.2008 № 149/54-144).
2. Типовые требования по организации и обеспечению функционирования цифровых (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 21. 02.2008 № 149/6/6-622).
3. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.
4. Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Хранение и обработка ПДн в облаке

В 2020 году объем глобального рынка облачных вычислений был оценен в $371,4 млрд. Через пять лет, по прогнозам экспертов, эта цифра будет равна уже $832,2 при условии, что среднегодовой темп роста сохранится на уровне 17,5%. В чем секрет такой популярности инструмента? Одним из важных факторов роста использования облачных серверов стало то, что облако сегодня воспринимается государством и бизнесом как надежная и безопасная технология, которая, наряду с другими преимуществами, способна защитить ПДн.

Компания, идущая в ногу со временем и желающая обеспечить максимальную защиту ПДн клиента, старается использовать для этих целей облако. При этом сам облачный провайдер не считается оператором персональных данных – им является только компания-заказчик. И за все возможные последствия хранения персональных данных в облаке будет отвечать она. Поэтому так важно с особой тщательностью подходить к выбору поставщика облачных услуг.

Надежный провайдер должен обеспечить:

• Абсолютную безопасность доступа;
• Возможность резервного копирования;
  
• Надежность технических инструментов, которые применяются для обработки данных;
  
• План эффективных действий в случае возникновения опасности для сохранности ПДн.
  

Поставщик отвечает за состояние ресурса, его безопасность и надежность. Специальные приложения получают доступ к облаку напрямую через API или через традиционные протоколы хранения данных. Преимущества такого решения в том, что оператору не нужно покупать дорогостоящее оборудование. К тому же упрощаются процессы управления системами хранения данных.

Чек-лист по работе с ПДн

Владелец коммерческого сайта, планирующий осуществлять сбор и хранение персональных данных, обязан соблюсти следующие моменты:

1. Назначить ответственного за организацию обработки персональных данных.
2. Опубликовать на сайте политику конфиденциальности.
   
3. Получить согласие пользователей на обработку персональных данных.
   
4. Хранить ПДн на территории России.
   
5. Подготовить и утвердить локальные акты, обеспечить безопасность персональных данных.
   
6. Подать соответствующее уведомление в Роскомнадзор.
   

Стоит помнить, что за неподачу уведомления об обработке персональных данных предусмотрен штраф. Процедура подачи осуществляется на бесплатной основе.

Резюме

Приравнять важность легитимной обработки персональных данных сегодня можно к выполнению таких обязанностей, как своевременная выплата зарплат сотрудникам и уплата необходимых налогов. Поэтому не стоит игнорировать требования законодательства, иначе суммарные штрафы могут достигать семизначных цифр. Также стоит очень внимательно подходить к выбору провайдера облачного хранилища, поскольку это напрямую может отразиться на коммерческой деятельности компании.

К примеру, SberCloud предлагает аттестованное в соответствии с требованиями безопасности информации, предъявляемыми к информационным системам персональных данных при обеспечении определенного уровня защищенности персональных данных, облако. Аттестаты соответствия размещены на сайте Sbercloud. Здесь же размещены лицензии от ФСТЭК и ФСБ на оказание услуг в области информационных систем и защиты информации. Компания строго соблюдает требования Федерального закона №152-ФЗ «О персональных данных» и обеспечивает безопасность персональных данных при их обработке в информационных системах в соответствии с Приказом ФСТЭК России N 21.

«В феврале 2021 года SberCloud получил сертификат соответствия системы менеджмента информационной безопасности требованиям стандарта ISO/IEC 27001:2013 с учетом правил ISO/IEC 27017:2015 и ISO/IEC 27018:2019. Это означает соответствие услуг облачного провайдера, в том числе связанных с ПДн, не только российскому законодательству, но и международным требованиям безопасности информации.». Синкина Надежда, эксперт по методологии кибербезопасности Центра киберзащиты SberCloud, Lead Auditor ISO/IEC 27001:2013.

Источники

1. Федеральный закон от 27 07 2006 № 152-ФЗ «О персональных данных»
2. Вебинар «Соответствие 152-ФЗ: все о защите персональных данных в облаке SberCloud»
3. Аналитический отчет InfoWatch «Утечки информации ограниченного доступа: отчет за 9 месяцев 2020»

Обработка персональных данных — Hamilton Apps Russia

Сегодня теме обработки персональных данных уделяется огромное внимание. Чтобы лучше разобраться в ней, предлагаем углубиться в Федеральный закон от 27. 07.2006 № 152-ФЗ «О персональных данных». В этом законе исчерпывающе рассказывается обо всех принципах и условиях, применимых к обработке персональных данных — ниже мы поговорим о самых важных из них.

---

С 1 июля 2017 года все операторы обязаны хранить и обрабатывать личные данные граждан РФ на территории страны.

Персональные данные всех пользователей облачных приложений для бизнеса Hamilton Apps хранятся и обрабатываются исключительно на территории Российской Федерации в соответствии с ФЗ № 152 «О персональных данных». 

Приложения Hamilton Apps разработаны для легкого, быстрого и эффективного управления авансовой отчетностью и командировками в компаниях. Больше информации о них можно найти здесь.

---

Принципы обработки персональных данных

Принципы, по которым следует проводить обработку персональных данных, собраны в 5-й Статье Федерального закона № 152. Статья начинается с того, что личные данные всегда должны обрабатываться согласно закону и перечисленной в нем политике обработки персональных данных. Подобная информация о любом человеке может обрабатываться исключительно ради какой-то понятной и определенной цели. В иных случаях данное действие может быть признано незаконным.

Дополнительно выделим пятый пункт Федерального закона, где говорится, что все предоставленные данные в их полном объеме должны четко подходить под заявленную цель обработки. Если какие-то данные для этой цели избыточны, то их обработка нарушает закон. Иными словами, запрещено использовать лишние данные о пользователях в каких-либо иных целях, для которых они не предназначены.

---

Если какая-либо компания просит вас заполнить заявление на обработку персональных данных для последующей выдачи дисконтной карты, эти сведения не могут быть переданы куда-либо еще. А ведь часто бывает так, что после предоставления личной информации одной организации вам начинают звонить другие – например, сотрудники банков, которые предлагают ознакомиться с их продуктами и услугами. Но если вы не предоставляли информацию о себе этому банку напрямую, вы сталкиваетесь с нарушением законодательства.

---

Кроме того, в Федеральном Законе идет речь и о том, что в процессе обрабатывания персональных данных необходимо, чтобы они предварительно были проверены на соответствие конечной цели по таким критериям как точность, полнота и актуальность. Если предоставленная информация не соответствует одному из этих критериев, то такие данные не могут быть использованы для дальнейшей обработки, и сам оператор обязан их удалить.

8-й пункт всё той же Статьи развивает эту тему и гласит, что персональные данные не могут храниться дольше срока, необходимого для выполнения конечной цели по их обработке. Исключением может стать только наличие соответствующего договора между лицом, предоставляющим данные, и оператором, их собирающим. Выполнение цели обработки персональных данных означает уничтожение или обезличивание ранее собранной базы.

Условия обработки персональных данных

Условия обработки персональных данных представлены в 6-й Статье Федерального Закона № 152. В этой Статье объясняется, выполнение каких условий обеспечивает законность проводимой обработки данных.

Прежде всего обработка персональных данных может быть признана законной только в том случае, если пользователь предоставил на это согласие в соответствующей форме. Субъект персональных данных должен быть заранее уведомлен о том, что данные о нем могут быть использованы для дальнейшей цели, а также осознавать факт использования предоставленной информации.

Закон разрешает работать с персональными данными, которые могут понадобиться в рамках международного договора Российской Федерации или же какого-то другого акта, с помощью которого можно подтвердить законность деятельности оператора данных. Сюда относится Трудовой кодекс, а также законы, регулирующие деятельность банков, операторов связи и др.

Кроме того, законной признается обработка персональных данных при вступлении в действие договора, согласно которому субъект персональных данных получает выгоду или может выступать поручителем. В этом случае субъект данных изначально выступает инициатором сбора личной информации, необходимой для подписания договора о сотрудничестве.

---

Например, если вы откликаетесь на размещенную вакансию, то автоматически выражаете намерение о последующем заключении трудового договора. Этого основания достаточно для признания законным факта обработки данных о вас.

---

Обработка персональных данных считается законной, если лицо принимает участие в каком-либо судебном процессе, а его данные требуются для применения судебного акта или иных полномочий со стороны органов власти.

Отметим, что в Законе присутствует неоднозначный пункт, где говорится о законности обработки персональных данных в случаях, когда они должны быть раскрыты и опубликованы. На самом деле в России уже было несколько случаев, когда факт размещения данных в общедоступных источниках был по решению суда признан незаконным, т.к. на то не было согласия от субъектов этих данных.

Если персональные данные используются в целях составления статистического или исследовательского отчета, то все они должны быть обезличены.

И помните: если вы не давали своего согласия, оператор персональных данных не может поручить их обработку кому-либо другому, кроме случаев, которые регулируются отдельно заключенным договором в соответствии с законодательством РФ. Для последнего дополнительного согласия на обработку данных субъекта не требуется.

Согласие на обработку персональных данных

Персональная информация должна быть предоставлена добровольно, свободно и не нарушать личные интересы. При подаче данных онлайн через предусмотренную форму пользователь обязательно должен проставить галочку-согласие в соответствующих дисклеймерах, из которых четко следует, что:

• лицо, предоставляющее данные о себе, понимает, что они будут использоваться для дальнейшей обработки, осознанно заполняет эти данные и ознакомлено с политикой конфиденциальности и пользовательским соглашением компании;
• лицо, предоставляющее данные о себе, соглашается с тем, что в будущем с ним могут связаться по оставленным контактным данным напрямую и проинформировать о новостях, специальных предложениях, акциях, скидках и т. п.

Письменная подача данных от субъекта требуется, если:

• в дальнейшем эта информация будет вынесена на общедоступные ресурсы;
• за этим следует обработка биометрической информации;
• данные подаются в иностранные государства;
• заполняются специальные категории данных;
• в дальнейшем предоставленные данные могут быть использованы  для решения юридических вопросов, а сам субъект может нести ответственность перед законом.

Политика в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки и защиты персональных данных (далее – Политика) составлена в соответствии с Конституцией РФ, Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые ООО «МК РУСТЕК» (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося Пользователем Сайта, стороной по гражданско-правовому договору, а также участником выставки, семинара, конференции и иных профессиональных мероприятий (далее — участник мероприятия) с участием Оператора.

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.3. Политика устанавливает обязательные для сотрудников Оператора, задействованных в обслуживании Сайта, в сборе анкет участников мероприятий, в заключении гражданско-правового договора общие требования и правила по работе с персональными данными субъекта персональных данных независимо от вида носителя информации, содержащего такие данные.

1.4. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в Политику указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Сайт – совокупность программных и аппаратных средств для ЭВМ, обеспечивающих публикацию для всеобщего обозрения информации и данных, объединенных общим целевым назначением, посредством технических средств, применяемых для связи между ЭВМ в сети Интернет. Под Сайтом в Политике понимается Сайт, расположенный в сети Интернет по адресу: http://rustech.ru

Пользователь – пользователь сети Интернет и, в частности, Сайта (зарегистрированный или нет).

Федеральный закон – Федеральный закон от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – организация, самостоятельно или совместно с другими лицами организующая и осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных и состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является Общество с ограниченной ответственностью ООО «МК РУСТЕК» ОГРН 1057747517706, ИНН/КПП 7706585964 / 770601001, юридический адрес: 119049, город Москва, улица Донская, дом 6, строение 1, помещение 1, оф. 1а, эт.

подвал.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных – обработка персональных данный без средств автоматизации.

Распространение персональных данных – действие, направленное на раскрытие персональных данных неопределенному кругу лиц по предварительному согласию в случаях, предусмотренных законом.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Договор – любой правовой договор, одной стороной которого либо выгодоприобретателем или поручителем является субъект персональных данных, другой – ООО «МК РУСТЕК» ОГРН 1057747517706, ИНН/КПП 7706585964 / 770601001, юридический адрес: 119049, город Москва, улица Донская, дом 6, строение 1, помещение 1, оф. 1а, эт. подвал.

3. ЦЕЛИ ПОЛИТИКИ

3.1. Целями Политики являются:

3.1.1. Обеспечение требований защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

3.1.2. Исключение несанкционированных действий сотрудников Оператора и любых третьих лиц по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению) персональных данных, иных форм незаконного вмешательства в информационные ресурсы и локальную вычислительную сеть Оператора, обеспечение правового и нормативного режима конфиденциальности документированной и недокументированной информации субъекта персональных данных; защита конституционных прав граждан на личную тайну, конфиденциальность сведений, составляющих персональные данные, и предотвращение возникновения возможной угрозы безопасности Пользователей Сайта, участников мероприятий, стороны гражданско-правового договора.

4. ПРИНЦИПЫ, УСЛОВИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Принципы обработки персональных данных:

4.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.

4.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4.1.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

4.1.6. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

4.1.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором и иными документами, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.1.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

4.2. Условия обработки персональных данных:

4.2.1. Обработка персональных данных осуществляется на основании Гражданского кодекса РФ, Конституции РФ, Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных.

4.2.2. Обработка персональных данных допускается только с согласия субъекта персональных данных на их обработку.

4.2.3. Обработка персональных данных допускается в следующих случаях:

4.2.3.1. Обработка персональных данных необходима для использования Сайта Пользователем;

4.2.3.2. Обработка персональных данных необходима для заключения договора по инициативе субъекта или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, для исполнения договора;

4.2.3.3. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно.

4.2.3.4. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4. 2.3.5. Обработка персональных данных осуществляется в статистических или иных исследовательских целях, в том числе в целях продвижения работ, Товаров, Услуг Общества на рынке, информирования субъекта персональных данных о Товарах и Услугах Общества, скидках и рекламных акциях, профессиональных мероприятиях, выставках, конференциях, семинарах, маркетинговых исследованиях и прочем путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. Данная обработка персональных данных немедленно прекращается Обществом по требованию субъекта персональных данных.

4.3. Цели обработки персональных данных:

4.3.1. Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях предоставления Пользователю возможности взаимодействовать с Сайтом; заключения и исполнения правового договора; информирования о товарах, услугах Общества, продвижения товаров и услуг Общества, информирования о профессиональных мероприятиях, маркетинговых исследованиях, рекламных акциях и прочее путем направления рекламных и новостных рассылок: СМС — сообщений, сообщений на адрес электронной почты, почтовой и телефонной связи.

5. ИСТОЧНИКИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Источником информации обо всех персональных данных является непосредственно сам субъект персональных данных.

5.2. Источником информации о персональных данных являются сведения, полученные в следствие:

5.2.1. регистрации Пользователя на Сайте и предоставления Оператором Пользователю прав пользования Сайтом;

5.2.2. заполнения анкеты участника на выставках и профессиональных мероприятиях;

5.2.3. передачи персональных данных при заключении гражданско-правового договора.

5.3. Персональные данные относятся к конфиденциальной информации ограниченного доступа.

5.4. Обеспечения конфиденциальности персональных данных не требуется в случае их обезличивания, а также в отношении общедоступных персональных данных.

5.5. Оператор не собирает и не обрабатывает персональные данные субъекта специальной категории, за исключением случаев, предусмотренных действующим законодательством (Ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ в ред. от 24.04.2020).

6. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные Пользователей Сайта (полученные Оператором согласно п.5.2.1. настоящей Политики) и субъекта персональных данных (полученные Оператором согласно п.5.2.2. и п.5.2.3. настоящей Политики) обрабатываются как с использованием средств автоматизации, так и без таковых.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных имеет право на получение от Оператора при обращении к нему либо при получении Оператором письменного запроса от субъекта персональных данных или его представителя следующей информации, касающейся обработки его персональных данных, в том числе содержащей:

7.1.1. Подтверждение факта обработки персональных данных Оператором.

7.1.2. Правовые основания и цели обработки персональных данных.

7.1.3. Цели и применяемые Оператором способы обработки персональных данных.

7. 1.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона.

7.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом.

7.1.6. Сроки обработки персональных данных, в том числе сроки их хранения.

7.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом.

7.1.8. Информацию об осуществленной или о предполагаемой трансграничной передаче данных.

7.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

7. 1.10. Иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

7.1.11. Требовать от Оператора уточнения, блокирования или уничтожения персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.1.12. На дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.

7.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, предусмотренных частью 8 статьи 14 Федерального закона «О персональных данных».

7.3. Субъект персональных данных имеет право обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке действия или бездействие Оператора, если считает, что последний осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы.

7.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8. ОБЯЗАННОСТИ И ПРАВА ОПЕРАТОРА

8.1. Оператор обязан при обращении субъекта персональных данных или его представителя либо в течении 30 (тридцати) дней с получения запроса субъекта персональных данных или его представителя предоставить сведения в объеме, установленном Федеральным законом. Такие сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.2. Все обращения субъектов персональных данных или их представителей по вопросам обработки персональных данных регистрируются в Журнале учета обращений граждан (субъектов персональных данных).

8. 3. В случае отказа в предоставлении субъекту персональных данных или его представителю информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней с даты обращения или получения запроса субъекта персональных данных или его представителя.

8.4. В случае получения запроса от уполномоченного органа по защите прав субъектов персональных данных о предоставлении информации, необходимой для осуществления деятельности указанного органа, Оператор обязан сообщить такую информацию в уполномоченный орган в течение 30 дней с даты получения такого запроса.

8.5. В случае выявления неправомерной обработки персональных данных при обращении или по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование или обеспечить блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

8.6. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.7. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

8.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 8.7. и 8.8. настоящей Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.10. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы без согласия субъекта персональных данных в письменной форме, за исключением случаев, предусмотренных Федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

8.11. Оператор вправе поручать обработку персональных данных другому лицу в соответствии с ч. 3 ст.6 Федерального закона «О персональных данных» с согласия субъекта персональных данных. Ответственность перед субъектом персональных данных за действия другого лица, осуществляющего обработку персональных данных субъекта, несет Оператор.

9. РЕЖИМ КОНФИДЕНЦИАЛЬНОСТИ

9.1. Персональные данные субъекта персональных данных являются конфиденциальной информацией.

9.2. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с требованиями законодательства РФ.

9.3. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено Федеральным законом.

9.4. Лица, осуществляющие обработку персональных данных, обязаны соблюдать требования регламентирующих документов Оператора в части обеспечения конфиденциальности и безопасности персональных данных.

10. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

10. 1. Перечень обрабатываемых персональных данных Пользователей:

• фамилия, имя, отчество;
• должность;
• организация;
• лаборатория;
• отрасль;
• телефон;
• область профессиональных интересов;
• предметный интерес;
• электронная почта;
• паспортные данные;
• банковские реквизиты;
• ИНН;
• адрес регистрации;
• иные данные, указанные субъектом.

10.2. Лица, имеющие право доступа к персональным данным:

10.2.1. Правом доступа к персональным данным субъектов обладают лица, наделенные соответствующими полномочиями, в соответствии со своими служебными обязанностями

10.2.2. Перечень лиц, имеющих доступ к персональным данным, утверждается генеральным директором Оператора.

10.2.3. Оператор передает персональные данные третьим лицам и поручает обработку персональных данных сторонним лицам и организациям с согласия субъекта персональных данных. От имени Оператора персональные данные Пользователей Сайта обрабатывают сотрудники Оператора (администраторы баз данных и т. д.), допущенные установленным порядком к обработке персональных данных Пользователей.

10.3. Порядок и сроки хранения персональных данных.

10.3.1. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах.

10.3.2. Оператор осуществляет хранение персональных данных Пользователя на Сайте.

10.3.3. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационных системах.

10.3.4. Не допускается объединение баз данных, обработка которых осуществляется в целях не совместимых между собой.

10.3.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки с учетом применения срока хранения документов, содержащих такие персональные данные. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении с учетом срока хранения документов, содержащих такие персональные данные.

10.3.6. Сроки хранения персональных данных Пользователей на Сайте определены п.8.8. Пользовательского соглашения, по истечении которых персональные данные Пользователя уничтожаются.

10.3.7. Уничтожение персональных данных осуществляется путем:

• удаления Администрацией Сайта информации о персональных данных;
• уничтожения носителя персональных данных (персональные данные на бумажном носителе): шредирование, термическая обработка.

11. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Меры по обеспечению безопасности персональных данных при их обработке.

11.1.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11.1.2. Обеспечение безопасности персональных данных достигается, в частности:

• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные ПРФ уровни защищенности персональных данных;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

11.1.3. Для целей Политики под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке.

11.2. Система защиты персональных данных должна обеспечивать:

• своевременное обнаружение и предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
• предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации о персональных данных;
• недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
• возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• постоянный контроль за обеспечением уровня защищенности персональных данных.

11.3. Основными мерами защиты персональных данных, используемыми Оператором, являются:

11.3.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональным данным.

11.3.2. Определение актуальных угроз безопасности персональных данных при их обработке и разработка мер и мероприятий по защите персональных данных.

11.3.3. Разработка настоящей Политики в отношении обработки персональных данных.

11.3.4. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе.

11.3.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

11.3.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

11.3.7. Применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

11.3.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

11.3.9. Мониторинг фактов несанкционированного доступа к персональным данным и принятие мер.

11.3.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

11.3.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

11.3. 12. Осуществление внутреннего контроля и аудита.

11.4. Персональные данные не могут быть использованы в целях, противоречащих требованиям Федерального закона, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

11.5. Ответственность.

11.5.1. Все сотрудники Оператора, осуществляющие обработку персональных данных, обязаны хранить тайну о сведениях, содержащих персональные данные, в соответствии с Политикой, требованиями законодательства РФ.

11.5.2. Лица, виновные в нарушении требований Политики, несут предусмотренную законодательством РФ ответственность.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Базы данных информации, с использованием которой осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) извлечение персональных данных граждан РФ, находятся на территории РФ.

12.2. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных, настоящая Политика действует в части, не противоречащей действующему законодательству до приведения ее в соответствие с ним.

12.3. Условия настоящей Политики устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления субъекта персональных данных. С момента размещения на Сайте новой редакции Политики предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящей Политики Оператор извещает об этом субъекта персональных данных путем размещения на Сайте соответствующего сообщения.

12.4. Если субъект персональных данных не согласен с условиями настоящей Политики, то он обязан отозвать свое согласие на обработку персональных данных, подав заявление в произвольной форме на адрес электронной почты: [email protected] или заказным письмом с уведомлением по следующему адресу: 119049, город Москва, улица Донская, дом 6, строение 1, помещение 1, оф. 1а, эт. подвал. Пользователь Сайта также должен немедленно удалить свой профиль с Сайта. В противном случае профиль Пользователя, отозвавшего свое Согласие, удаляется Администрацией Сайта.

УТВЕРЖДЕНО
приказом Генерального директора ООО «МК РУСТЕК»
от 20 апреля 2021 г. № б\н
г. Москва

Законы о конфиденциальности данных в 2022 году: что вам нужно знать

Введение в конфиденциальность данных в 2022 году

За последние несколько лет распространение законов о конфиденциальности данных ускорилось во всем мире.

И эта тенденция не собирается останавливаться. По данным Gartner, «к 2023 году 65% населения мира будут иметь свои личные данные, подпадающие под действие современных правил конфиденциальности». Но важно отметить, что не все правила конфиденциальности созданы одинаковыми, и уровни конфиденциальности данных, защиты данных, области действия или деловых обязательств могут сильно различаться. Приведенная ниже карта, составленная DLA Piper, обеспечивает хорошую визуализацию не только текущего охвата закона о конфиденциальности данных, но также их сильных сторон и надежности.

Ниже мы перечислили краткие сведения об основных положениях о конфиденциальности, о которых вы должны знать, и будем обновлять эту страницу по мере появления новых правил или внесения поправок.

---

СОДЕРЖАНИЕ

Законы о конфиденциальности данных в США по штату
Международные законы о конфиденциальности данных
Ключевые риски не совместимости
Заключение

---

Законы США о конфиденциальности по состоянию

9004

---

США.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)
Закон штата Калифорния о правах на конфиденциальность (CPRA)
Закон штата Вирджиния о конфиденциальности данных потребителей (CDPA)
Закон штата Колорадо о конфиденциальности (CPA)
Федеральные законы о защите данных

В настоящее время это делают Соединенные Штаты. не иметь всеобъемлющего федерального закона о конфиденциальности данных. Хотя за последние десятилетия было предпринято много попыток согласовать вопросы конфиденциальности и защиты данных, до сих пор нет единой структуры. Вы можете проверить этот полезный трекер, разработанный IAPP, чтобы отслеживать введение и развитие федерального закона о конфиденциальности.

В отсутствие федеральной системы обеспечения конфиденциальности некоторые штаты взяли на себя инициативу и приняли новые всеобъемлющие законы о конфиденциальности данных, вдохновленные Европейским общим регламентом по защите данных (GDPR). По мере принятия новых государственных правил мы будем обновлять эту страницу.

Закон штата Калифорния о защите прав потребителей (CCPA)

Закон штата Калифорния о защите прав потребителей (CCPA) был первым всеобъемлющим законом о конфиденциальности данных. Закон CCPA был подписан 28 июня 2018 г. и вступил в силу 1 января 2020 г.

Этот закон Калифорнии о конфиденциальности данных в настоящее время применяется к коммерческим организациям, которые собирают личную информацию от жителей Калифорнии и соответствуют любому из следующих пороговых значений:

(i) валовой годовой доход не менее 25 миллионов долларов США,

(ii) покупки , продает или получает личную информацию не менее чем о 50 000 калифорнийских потребителей, домохозяев или устройств в коммерческих целях или,

(iii) получает более 50% своего годового дохода от продажи личной информации.

Кроме того, CCPA также вводит новые права потребителей для жителей Калифорнии, такие как право знать, право на удаление, право отказаться от продажи и многое другое.

Чтобы узнать больше о законе CCPA и о том, что он может означать для вашего бизнеса, посетите наш обзор CCPA.

 

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA).

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) является второй версией CCPA, поэтому многие называют его CCPA 2.0. Аластер Мактаггарт, архитектор CCPA, представил CPRA осенью 2019 года.и собрал достаточно подписей, чтобы подготовить инициативу голосования и обойти законодательный орган. 3 ноября 2021 года избиратели Калифорнии одобрили Предложение 24 с перевесом в 13%, что привело к созданию CPRA. CPRA вступит в силу 1 января 2023 года.

По сравнению с CCPA, CPRA добавляет следующее:

• Пороговое заявление для организаций, собирающих личную информацию от жителей Калифорнии,
• Новые права потребителей, такие как право на исправление или право на ограничение использования и раскрытия конфиденциальных данных,
• Определение «Подрядчика»,
• Определения продажи и обмена данными,
• Автоматический штраф в размере 7500 долларов США за нарушение, касающееся личной информации несовершеннолетних,
• Ежегодный аудит кибербезопасности, необходимый для предприятий, обработка которых представляет значительный риск для конфиденциальности или безопасности потребителей,
• Создание Калифорнийского агентства по защите конфиденциальности (CPPA) для обеспечения соблюдения CPRA,
• Предприятия, обработка которых представляет значительный риск для конфиденциальности или безопасности потребителей, должны регулярно представлять оценку риска в CPPA.
• И многое другое!

CPRA содержит положение о ретроспективном анализе на 12 месяцев, а это означает, что предприятий должны будут убедиться, что их методы сбора данных соответствуют CPRA с 1 января 2022 года . Хотя у вас может возникнуть соблазн отложить это до более позднего этапа, просто знайте, что соблюдение закона CCPA действует, и меры по обеспечению соблюдения должны усиливаться по мере того, как Калифорнийское агентство по защите конфиденциальности (CPPA) структурирует свою команду и операции.

Чтобы получить дополнительные сведения о CPRA и понять, чем он отличается от CCPA, см. наш обзор CCPA и CPRA.

Закон Вирджинии о конфиденциальности данных потребителей (CDPA)

Закон Вирджинии о защите данных потребителей (CDPA) был подписан губернатором Ральфом Нортамом 2 марта 2021 года и вступит в силу 1 января 2023 года.

Закон CDPA стал второй всеобъемлющий закон о конфиденциальности данных, который будет принят в США и был в значительной степени вдохновлен CPRA. Несмотря на то, что между этими двумя законами существует много общего, есть и ключевые различия:

• Потребители должны согласиться на сбор и использование своих конфиденциальных данных для обработки
• CDPA требует оценки воздействия на защиту данных для любой обработки, связанной с целевой рекламой, продажей данных, профилированием или конфиденциальными данными; или любая обработка данных, которая представляет «риск причинения вреда»
• CDPA не требует добавления ссылки «Не продавать мою личную информацию» на веб-сайтах
• Обеспечение соблюдения CDPA будет осуществляться Генеральной прокуратурой Вирджинии

Для более подробного ознакомления с CDPA штата Вирджиния см. наш обзор CDPA.

 

Закон штата Колорадо о конфиденциальности (CPA).

Закон штата Колорадо о конфиденциальности (CPA) был единогласно принят 26 мая 2021 г. и подписан 7 июля 2021 г. губернатором Джаредом Полисом. CPA вступит в силу 1 июля 2023 года.

CPA стал третьим всеобъемлющим регламентом конфиденциальности данных, принятым в США, после Калифорнии с ее CCPA и CPRA и после Вирджинии с CDPA.

Хотя CPA похож на CCPA и CDPA, некоторые элементы отличают закон Колорадо от двух других правил и потребуют дополнительных усилий по соблюдению со стороны компаний, подпадающих под его юрисдикцию. Например:

• CPA не указывает денежную стоимость в своих критериях применимости, поэтому каждая компания должна контролировать жителей Колорадо и домохозяйства, которые она приобретает.
• CPA требует, чтобы соответствующие предприятия внедрили средства, с помощью которых потребители могли бы отказаться от обработки своих личных данных в целях профилирования
• Кроме того, CPA явно запрещает соответствующим компаниям использовать темные шаблоны для получения согласия от потребителей
.

Продолжайте читать о Законе штата Колорадо о конфиденциальности в нашем обзоре CPA.

Федеральные законы о защите данных

Хотя в настоящее время в США нет всеобъемлющего федерального закона о конфиденциальности, существует множество федеральных нормативных актов, регулирующих сбор информации в Интернете и определяющих требования к защите данных. Вот некоторые из основных правил, с которыми вы можете столкнуться.

HIPAA

Закон о переносимости и подотчетности медицинского страхования, также известный как HIPAA, – это федеральный закон, вступивший в силу 14 апреля 2003 года и требующий создания национальных стандартов для защиты конфиденциальной информации о состоянии здоровья пациентов от раскрытия без предварительное согласие или знание пациента.

Согласно HHS, HIPAA требует «соответствующих мер безопасности для защиты конфиденциальности личной медицинской информации, а также устанавливает ограничения и условия использования и раскрытия такой информации без разрешения пациента».

HIPAA также «предоставляет пациентам право на информацию о своем здоровье, включая право на изучение и получение копии своей медицинской документации, а также право запрашивать исправления».

Этот комплексный регламент определяет подпадающие под действие организации, разрешенное использование данных, исключения, а также протоколы защиты данных пациентов. Вы можете узнать больше о HIPAA на веб-сайте CDC и на веб-сайте HHS.

COPPA

Правило защиты конфиденциальности детей в Интернете, также известное как COPPA, представляет собой федеральный закон США о конфиденциальности данных, принятый Конгрессом в 1998 г. и вступивший в силу в апреле 2000 г.

COPPA налагает определенные требования на операторов веб-сайтов или онлайн-сервисов, детям младше 13 лет, а также операторам других веб-сайтов или онлайн-сервисов, которым действительно известно, что они собирают личную информацию в Интернете от ребенка младше 13 лет, как указано на веб-сайте FTC.

На высоком уровне в законе указано:

• Сайты должны требовать согласия родителей на сбор или использование любой личной информации молодых пользователей веб-сайтов.
• Что должно быть включено в политику конфиденциальности, включая требование, чтобы сама политика была размещена везде, где собираются данные.
• Когда и как получить поддающееся проверке согласие родителей или опекунов.
• Какие юридические обязательства несет оператор веб-сайта в отношении конфиденциальности и безопасности детей в Интернете, включая ограничения на типы и методы маркетинга, ориентированного на лиц моложе 13 лет.

Вы можете получить доступ к полному официальному тексту COPPA на веб-сайте FTC.

FCRA

Закон о достоверной кредитной отчетности, также известный как FCRA, был принят в 1970 г. и вступил в силу 25 апреля 1971 г. конфиденциальность личной информации, содержащейся в файлах агентств кредитной информации».

Этот федеральный закон регулирует «сбор кредитной информации потребителей и доступ к их кредитным отчетам».

FCRA создало множество новых прав потребителей и деловых обязательств, касающихся объема, содержания кредитного отчета, разрешения споров, доступа к данным и многого другого.

Вы можете ознакомиться как с кратким изложением, так и с полным текстом FCRA на веб-сайте FTC.

GLBA

Закон Грэмма-Лича-Блайли (GLBA) был принят 12 ноября 1999 года и требует «финансовых учреждений — компаний, предлагающих потребителям финансовые продукты или услуги, такие как кредиты, финансовые или инвестиционные консультации или страхование, — разъяснять свои практики обмена информацией со своими клиентами и для защиты конфиденциальных данных».

Объем охваченных данных (более 10 точек данных), а также регулируемые субъекты, охватывающие организации, которые либо оформляют кредиты, либо берут на себя кредитные риски, имели далеко идущие последствия. GLBA предоставляет такие преимущества для защиты потребителей, как:

• Частная или конфиденциальная информация защищена от несанкционированного доступа,
• Клиенты, уведомленные об обмене частной информацией между финансовыми учреждениями и третьими лицами и имеющие возможность отказаться при желании,
• Отслеживается активность пользователей и сотрудников, включая любые попытки доступа к конфиденциальной информации или защищенным записям.

Полный текст GLBA доступен здесь.

Закон США о конфиденциальности 1974 г.

В 1974 г. Конгресс принял Закон США о конфиденциальности 1974 г., содержащий важные положения о конфиденциальности и защите данных для потребителей США. Основная цель Закона – «сбалансировать потребность правительства в хранении информации о лицах с правами людей на защиту от необоснованного вторжения в их частную жизнь, связанного со сбором, хранением, использованием и раскрытием личной информации о них федеральными агентствами». ».

Некоторые из основных моментов и новых разработок Закона о конфиденциальности:

• Право граждан США на доступ и копирование любых данных, хранящихся в государственных учреждениях,
• Право граждан на исправление любых информационных ошибок, содержащихся в их данных,
• Агентства должны следовать принципам минимизации данных при сборе данных – минимум информации, «соответствующей и необходимой» для достижения своих целей,
• Доступ к данным ограничивается по мере необходимости — например, сотрудники, которым записи нужны для их должностных обязанностей,
• Обмен информацией между другими федеральными (и нефедеральными) агентствами ограничен и разрешен только при определенных условиях.

С полным текстом Закона США о конфиденциальности можно ознакомиться на веб-сайте Министерства юстиции.

Закон FTC

Хотя это и не является действительно всеобъемлющим законом о конфиденциальности данных, некоторые называют Закон о Федеральной торговой комиссии (Закон FTC) 1914 года первым федеральным законом о конфиденциальности.

В соответствии с Законом о Федеральной торговой комиссии Комиссия уполномочена:

• (a) предотвращать недобросовестные методы конкуренции и недобросовестные или вводящие в заблуждение действия или практики в торговле или влияющие на нее,
• (b) добиваться денежной компенсации и другой помощи за поведение, наносящее ущерб потребителям,
• (c) предписывать правила, конкретно определяющие действия или действия, которые являются несправедливыми или вводящими в заблуждение, и устанавливающие требования, направленные на предотвращение таких действий или действий,
• (d) собирать и обобщать информацию и проводить расследования, касающиеся организации, бизнеса, практики и управления субъектами, занимающимися коммерческой деятельностью, и
• (e) представлять отчеты и законодательные рекомендации Конгрессу и общественности.

На сегодняшний день Федеральная торговая комиссия в целом полагалась на Раздел 5 Закона о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) для расследования нарушений прав потребителей и принятия мер, в том числе в контексте конфиденциальности и безопасности данных.

Вы можете получить доступ к полному тексту закона FTC на веб-сайте FTC.

Международные законы о конфиденциальности данных

В этом разделе

Общий регламент ЕС по защите данных (GDPR)
Общий закон о защите данных Бразилии (LGPD)
Китайский закон о защите личной информации (PIPL)
Канада PIPEDA
Канадский закон о борьбе со спамом (CASL)

Общий регламент по защите данных (GDPR) изменил ландшафт конфиденциальности и вдохновил последние законы о конфиденциальности в США и во всем мире. GDPR вступил в силу 25 мая 2018 года, но на его разработку ушли годы. IAPP имеет довольно обширный график изменений в области конфиденциальности, ведущих к принятию GDPR.

Основной целью GDPR является усиление контроля и прав отдельных лиц над их личными данными, а также упрощение нормативно-правовой базы для международного бизнеса.

GDPR ввел права потребителей для всех жителей ЕС, требует защиты данных и оценки воздействия на конфиденциальность, а также добавил добровольное согласие, которое должно быть «свободно предоставленным, конкретным, информированным и недвусмысленным» посредством «четких позитивных действий».

Постановление также ввело 7 ключевых принципов:

• Законность, справедливость и прозрачность
• Ограничение цели
• Минимизация данных
• Точность
• Ограничение хранения
• Целостность и конфиденциальность
• Подотчетность

Если вы хотите узнать больше о GDPR, ознакомьтесь с нашим полным руководством GDPR.

Общий закон Бразилии о защите данных (LGPD)

Бразильский закон о защите данных (LGPD) вступил в силу 18 сентября 2020 г., но положения об административных санкциях LGPD вступили в силу 1 августа 2021 г.

LGPD – это первое комплексное регулирование конфиденциальности данных в Бразилии, созданное на основе GDPR. Хотя между LGPD и GDPR существует много общего, существуют заметные различия, в основном связанные с определением данных в области действия, экстерриториальностью, требованиями сотрудника по защите данных или запросами прав потребителей на неприкосновенность частной жизни (DSAR).

Подобно GDPR, LGPD требует от организаций назначать сотрудников по защите данных, проводить оценку воздействия на защиту данных, вести учет действий по обработке и т. д.

Полный обзор LGPD см. в нашем полном руководстве.

Закон о защите личной информации Китая (PIPL)

Недавний Закон о защите личной информации (PIPL), принятый 20 августа 2021 года, является первым всеобъемлющим законом о конфиденциальности данных в Китае, основанным на конституции Китая. Он вступает в силу 1 ноября 2021 года и объявлен «изменяющим правила игры для компаний в Китае».

PIPL имеет экстерриториальное действие: он применяется не только к компаниям, обрабатывающим личную информацию в Китае, но и к компаниям, обрабатывающим личную информацию за пределами Китая, где обработка осуществляется в целях предоставления продукта или услуги, анализа поведения жителей Китая. PIPL требует, чтобы иностранные компании создали специальное учреждение или назначили представителя в Китае для решения вопросов защиты личной информации.

Кроме того, PIPL ввела специальные рекомендации по сбору согласия потребителей, запросам о правах субъекта данных, а также обязательствам обработчика данных.

Чтобы узнать больше о PIPL, ознакомьтесь с нашим полным руководством по PIPL.

Канада PIPEDA

Закон о защите личной информации и электронных документов (PIPEDA) — канадский закон о конфиденциальности данных, вступивший в силу 13 апреля 2000 г. Это основной федеральный закон Канады о конфиденциальности, регулирующий сбор данных в частном секторе.

PIPEDA имеет широкое применение и «применяется к организациям частного сектора по всей Канаде, которые собирают, используют или раскрывают личную информацию в ходе коммерческой деятельности».

Согласно PIPEDA, к личной информации относится «любая фактическая или субъективная информация, записанная или нет, об идентифицируемом лице. Сюда входит информация в любой форме, например:

• возраст, имя, идентификационный номер, доход, этническое происхождение или группа крови;
• мнений, оценок, комментариев, социального статуса или дисциплинарных взысканий; и
• файлы сотрудников, кредитные записи, кредитные записи, медицинские записи, наличие спора между потребителем и продавцом, намерения (например, приобрести товары или услуги или сменить работу)».

Несмотря на отсутствие определений конфиденциальных данных или требований к оценке конфиденциальности, согласие и права потребителей являются двумя важными аспектами PIPEDA.

Чтобы узнать больше об исключениях, требованиях к утечке данных и основных принципах получения согласия, просто ознакомьтесь с нашим подробным обзором PIPEDA.

Закон Канады о борьбе со спамом (CASL)

Закон Канады о борьбе со спамом (CASL) был принят в 2010 году и вступил в силу 1 июля 2014 года. Основная цель CASL – уменьшить «вредное воздействие спама и связанных с ним угрозы» и «помочь создать более безопасный и защищенный онлайн-рынок», как указано на веб-сайте правоохранительного органа.

CASL — это всеобъемлющий закон о конфиденциальности данных, созданный для борьбы со спамом и запрещающий организациям, в том числе иностранным, отправлять нежелательные или вводящие в заблуждение коммерческие электронные сообщения («CEM») или программы потребителям без их согласия.

Щелкните здесь, чтобы узнать больше о CASL и ее деловых обязательствах.

Основные риски несоблюдения

Если ваша организация работает в нескольких юрисдикциях, вам, вероятно, придется соблюдать несколько правил. Как видите, хотя многие из этих правил имеют общий подход, их различия могут быть трудными для понимания и применения в вашем бизнесе для обеспечения соблюдения конфиденциальности.

Однако риски, связанные с несоблюдением требований, могут иметь негативные последствия для бизнеса:

• Упущенная выгода : Жалобы потребителей могут повлиять на имидж вашего бренда, уменьшить доверие среди вашей клиентской базы и повлиять на ваши доходы. По данным KPMG, конфиденциальность вызывает все большую озабоченность у 86 % потребителей, а 40 % потребителей в США не доверяют компаниям в этичном использовании их личной информации, и все больше людей в настоящее время готовы действовать, перенеся свой бизнес в другое место.
• Увеличение затрат : Штрафы могут очень быстро накапливаться в соответствии с большинством правил конфиденциальности, поэтому вы должны убедиться, что сводите риск соблюдения требований к минимуму. В федеральные суды уже подано более 200 исков о ряде нарушений CCPA.
• Распределение ресурсов : Ваша команда может использовать 30-дневный льготный период, чтобы исправить или устранить предполагаемое нарушение, что может привести к снижению приоритета других важных проектов, направленных на улучшение ваших инициатив по приобретению, удержанию и продуктам. Выявление ключевых пробелов до вступления закона в силу имеет решающее значение.
• Удержание талантов:  Некоторые из ваших лучших сотрудников, ориентированных на конфиденциальность, могут принять решение уйти в компанию, ориентированную на конфиденциальность, что может ограничить вашу производительность инноваций и ваш рост.
• Показатели конфиденциальности:  Если вы не продумаете стратегический аспект своей программы конфиденциальности для соблюдения правил конфиденциальности, создание внутренней коалиции вокруг общего видения вашего подхода к конфиденциальности будет затруднено, что ограничит влияние вашей команды по конфиденциальности.

Продолжить чтение

• Сравните, чем отличаются глобальные законы о конфиденциальности: быстро определите дополнительную работу, которую необходимо выполнить для соблюдения дополнительных правил конфиденциальности.
• Советы по подготовке и использованию лоскутного одеяла государственных законов о конфиденциальности: ознакомьтесь с мнением экспертов по конфиденциальности о том, как соблюдать и соблюдать требования в условиях фрагментированной нормативно-правовой базы конфиденциальности.

Заключение

Текущие международные правила конфиденциальности могут быть трудны для понимания. Еще более сложной задачей является включение и внедрение вашей программы конфиденциальности. Хотя эти законы могут иметь общий подход и много общего, вы увидите, что необходимо учитывать многие особенности, когда речь идет об объеме защищаемых данных, типах и ответах на права потребителей, требованиях к оценке и многом другом.

Наша команда стандартизировала основные положения этих ключевых правил в интерактивной таблице конфиденциальности , чтобы вам было легче понять их сходства и различия.

Сравните соответствие требованиям, обязательства по защите прав потребителей, требования к утечке данных, штрафы и многое другое в нашей интерактивной таблице конфиденциальности!

Международные и американские законы и правила о конфиденциальности данных, которые необходимо знать

Законы и правила о конфиденциальности данных защищают личные данные граждан или жителей в определенных местах. Они предоставляют отдельным лицам права на то, как компании используют их данные, и позволяют им принимать решения о том, как их данные используются после того, как компания их соберет. Эти правила могут существовать на многонациональном, национальном, государственном и местном уровнях.

Эта страница представляет собой текущий список законов и правил о конфиденциальности данных во всем мире. Он будет обновляться по мере появления новых законов и правил. Законы сгруппированы по следующим категориям:

• Федеральные правила США
• Специальные правила США
• Международные правила

Федеральные законы и правила США о конфиденциальности данных Приложение

Закон о защите конфиденциальности детей в Интернете 9006 9006 по номеру:

Операторам веб-сайтов или онлайн-сервисов, которые собирают данные о детях в возрасте до 13 лет.

Закон о защите конфиденциальности детей в Интернете (COPPA) от 1998 г. запрещает недобросовестные или вводящие в заблуждение действия, связанные со сбором, использованием или раскрытием личной информации о детях и о детях в Интернете. Он был принят Конгрессом в 1998 году и требует от Федеральной торговой комиссии (FTC) выпускать и обеспечивать соблюдение правил конфиденциальности детей в Интернете. Цель COPPA — предоставить родителям контроль над тем, какая информация собирается от их маленьких детей в Интернете. COPPA вступил в силу 21 апреля 2000 г.

Закон Грэмма-Лича-Блайли (GLBA)

Применяется к: Финансовым учреждениям в США

Закон Грэмма-Лича-Блайли (GLBA), также известный как Закон о модернизации финансовых услуг 1999 года, был принят Конгрессом США и вступил в силу 12 ноября 1999 г. Закон требует, чтобы финансовые учреждения раскрывали свои методы обмена информацией своим клиентам в целях защиты конфиденциальных данных клиентов.

Закон определяет «финансовые учреждения» как «компании, которые предлагают потребителям финансовые продукты или услуги, такие как кредиты, финансовые или инвестиционные консультации или страхование».

Правило финансовой конфиденциальности GLBA требует, чтобы финансовые учреждения предоставляли потребителям уведомление о конфиденциальности, когда они впервые регистрируются в качестве клиентов. Правило также требует ежегодно отправлять уведомление о конфиденциальности. Правило защитных мер GLBA требует от финансовых учреждений предоставления плана информационной безопасности, в котором описывается, как учреждение будет защищать непубличную личную информацию своих клиентов.

Закон о переносимости и подотчетности медицинского страхования (HIPAA)

Применяется к: Поставщикам медицинских услуг в США

Закон о переносимости и подотчетности медицинского страхования от 1996 г. (HIPAA) — это федеральный закон, определяющий национальные стандарты защиты конфиденциальной информации о здоровье пациента от раскрытия без согласия или ведома пациента.

Правило конфиденциальности HIPAA касается использования и раскрытия информации о состоянии здоровья физических лиц этими организациями, на которые распространяется действие страхового полиса: поставщиками медицинских услуг, планами медицинского страхования, информационными службами здравоохранения и деловыми партнерами.

Правило безопасности HIPAA касается части информации, на которую распространяется действие Правила конфиденциальности, «все индивидуально идентифицируемые медицинские данные, которые организация, на которую распространяется действие страховки, создает, получает, поддерживает или передает в электронной форме (т. »)».

Законы и нормативные акты о конфиденциальности данных для конкретных штатов США

Закон штата Калифорния о защите конфиденциальности в Интернете от 2003 г. (CalOPPA)

Применяется к: Коммерческим веб-сайтам, которые собирают личную информацию (PII) от жителей Калифорнии.

Калифорнийский закон о защите конфиденциальности в Интернете от 2003 г. (CalOPPA) вступил в силу 1 июля 2004 г. Это был первый закон штата в США, требующий от коммерческих веб-сайтов и онлайн-сервисов включения политики конфиденциальности на свой сайт. В частности, веб-сайты, которые собирают личную информацию (PII) от жителей Калифорнии, должны публиковать и соблюдать политику конфиденциальности.

Согласно CalOPPA, политика конфиденциальности должна быть четко обозначена и легкодоступна. Многие сайты перечисляют политику под заголовком «Ваши права на конфиденциальность в Калифорнии». Политика конфиденциальности должна раскрывать:

• Дата вступления в силу политики
• Информация, собранная веб-сайтом
• Как информация передается другим сторонам
• Как пользователи могут запрашивать, просматривать и вносить изменения в свою сохраненную информацию
• Список любых изменений, которые произошло после даты вступления в силу

Оператор веб-сайта, который не опубликует политику конфиденциальности в течение 30 дней с момента получения уведомления, будет считаться нарушением и подлежит штрафу. О нарушениях можно сообщить в Генеральную прокуратуру Калифорнии через их веб-сайт.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)

Применяется к: Предприятиям, собирающим данные о потребителях в Калифорнии.

Закон штата Калифорния о конфиденциальности потребителей (CCPA) вступил в силу 1 января 2020 года. Он предоставляет потребителям штата Калифорния больший контроль над личной информацией, которую предприятия собирают о них. Закон гарантирует новые права на неприкосновенность частной жизни для потребителей из Калифорнии, в том числе право знать о личной информации, которую компания собирает о них, и право отказаться от продажи своей личной информации.

В ноябре 2020 года избиратели Калифорнии одобрили Закон штата Калифорния о правах на неприкосновенность частной жизни от 2020 года (CPRA). CPRA вступит в силу 1 января 2023 года. Он не заменяет CCPA; однако он предоставляет обновления CCPA и включает дополнительные законы и правила.

Закон о защите данных потребителей штата Вирджиния (VCDPA)

Применяется к: Лицам или компаниям, ведущим бизнес в Содружестве Вирджиния.

Закон Вирджинии о защите данных потребителей (VCDPA) был подписан 2 марта 2021 г. и вступит в силу 1 января 2023 г. Благодаря VCDPA Вирджиния стала вторым штатом (т. е. после закона CCPA в Калифорнии в 2020 г.), принявшим всеобъемлющий закон о конфиденциальности данных для своих граждан.

VCDPA применяется к лицам или компаниям, которые ведут бизнес в Содружестве Вирджиния и:

• Контролируют или обрабатывают персональные данные не менее 100 000 потребителей или,
• Получают более 50 процентов валового дохода от продажи персональных данных и контроля или обрабатывать личные данные не менее 25 000 потребителей

VCDPA дает потребителям право доступа, исправления, удаления и получения копии своих личных данных. Кроме того, потребители могут отказаться от использования своих личных данных для целевой рекламы. Они также могут отказаться от продажи своих личных данных. VCDPA наделяет Генерального прокурора Вирджинии исключительными полномочиями по обеспечению соблюдения законов и постановлений.

Закон штата Колорадо о конфиденциальности (ColoPA)

Применяется к: Организациям, ведущим бизнес в Колорадо или предоставляющим товары и услуги, ориентированные на жителей Колорадо.

Закон штата Колорадо о конфиденциальности (ColoPA, также известный как CPA) был подписан 7 июля 2021 г. и вступит в силу 1 июля 2023 г. Колорадо является третьим штатом (после CCPA в Калифорнии и VCDPA в Вирджинии), принявшим всеобъемлющий закон о конфиденциальности данных для его жителей.

ColoPA применяется к организациям, ведущим бизнес в Колорадо или предоставляющим товары и услуги его жителям. Это также применимо, если организации:

• Контролировать или обрабатывать данные 100 000 или более жителей Колорадо в течение календарного года или
• Получать доход от продажи персональных данных не менее 25 000 жителей Колорадо

Закон штата Юта о конфиденциальности потребителей (UCPA)

Применяется по номеру: Коммерческие организации ведут бизнес в штате Юта или ориентируют продукты и услуги на потребителей, проживающих в штате.

Закон штата Юта о конфиденциальности потребителей был подписан 24 марта 2022 г. Он вступит в силу 31 декабря 2023 г. Юта является четвертым штатом, принявшим собственный свод законов о конфиденциальности данных.

Дополнительные требования закона включают:

• Бизнес с годовым доходом не менее 25 миллионов долларов
• Контролировать или обрабатывать персональные данные 100 000 или более жителей Юты
• Получать более 50 процентов валового дохода от продажи личных данные и контролировать или обрабатывать персональные данные 25 000 или более потребителей.

Закон Коннектикута о конфиденциальности данных (CDPA)

Применяется к: Организациям, ведущим бизнес в Коннектикуте или производящим товары или услуги, предназначенные для жителей Коннектикута.

Закон Коннектикута о конфиденциальности данных (CDPA) был подписан 4 мая 2022 г. Он вступит в силу 1 июля 2023 г. Коннектикут стал пятым штатом, принявшим собственный свод законов о конфиденциальности данных.

Закон Коннектикута о конфиденциальности данных применяется к тем, кто ведет бизнес в Коннектикуте или нацелен на жителей штата. К дополнительным параметрам относятся:

• Организации, которые ежегодно контролируют или обрабатывают персональные данные 100 000 и более потребителей, за исключением персональных данных, которые контролируются или обрабатываются исключительно в целях совершения платежной операции
• Организации, которые получают более 25 процентов своего валового дохода от продажи персональных данных и контролируют или обрабатывают персональные данные 25 000 или более потребителей

Международные законы и положения о конфиденциальности данных

Аргентина: Закон о защите персональных данных (PDPA )

Применяется к: Организациям, которые занимаются или собирают данные от граждан Аргентины.

Закон 25.326 Аргентины о защите персональных данных (PDPA) был принят Сенатом и Палатой представителей Аргентины 4 октября 2000 г. Закон защищает личные данные граждан Аргентины. Он определяет «персональные данные» как информацию любого рода, относящуюся к определенным или поддающимся установлению физическим или юридическим лицам.

Закон определяет, что использование личных данных должно быть определенным, уместным и уместным. Это также должно соответствовать заявленной цели, когда было получено согласие на использование данных. Кроме того, использование персональных данных считается незаконным, если владелец этих данных не дал явного согласия ни в письменной форме, ни с помощью аналогичных средств.

Бахрейн: Закон о защите персональных данных (PDPL)

Применяется к: Организациям, которые нацелены или собирают данные от граждан Бахрейна.

12 июля 2018 г. Бахрейн принял Закон № 30 от 2018 г. «Закон о защите персональных данных» (PDPL). Он вступил в силу 1 августа 2019 года. За исполнением Закона следит Управление по защите персональных данных, которое уполномочено расследовать нарушения Закона. Управление может заставить организации прекратить нарушения и издать экстренные приказы и штрафы. PDPL может привести к уголовным наказаниям (включая тюремное заключение) и штрафам за нарушение его положений. Штрафы могут варьироваться от 1000 до 20 000 BHD (бахрейнских динаров).

Канада: Закон о защите личной информации и электронных документов (PIPEDA)

Применяется к: Частным организациям по всей Канаде, которые собирают, используют или раскрывают личную информацию в ходе коммерческой деятельности.

Закон о защите личной информации и электронных документов (PIPEDA) — это закон о конфиденциальности данных в Канаде, который определяет порядок использования личной информации в коммерческой деятельности. PIPEDA определяет «личную информацию» как «любую фактическую или субъективную информацию, записанную или нет, об идентифицируемом лице».

Примеры личной информации включают возраст, имя, идентификационный номер, доход, этническое происхождение и группу крови. Согласно PIPEDA, предприятия должны следовать 10 принципам честной информации для защиты личной информации. 10 принципов:

1. ответственность
2. Идентификационные цели
3. Согласие
4. Ограничение сбора
5. Ограничение использования, раскрытие и удержание
6. Точность
7. Safeegwards
10. Safeegwards
11. .0071
12. Оспаривание соответствия

Европейский Союз: Общий регламент по защите данных (GDPR)

Применяется к: Организациям, которые нацелены или собирают данные от граждан Европейского Союза.

GDPR вступил в силу 25 мая 2018 года. Законы применяются к любой организации, которая нацелена или собирает данные, относящиеся к гражданам Европейского Союза (ЕС). Создатели GDPR называют его «самым жестким законом о конфиденциальности и безопасности в мире».

Законы обширны и преднамеренно мало конкретны. В результате понимание соответствия GDPR может быть проблемой для малого и среднего бизнеса (SMB). Штрафы за нарушение правил GDPR высоки. Штрафы могут достигать 20 миллионов евро или 4 процентов от мирового дохода, в зависимости от того, что больше.

Израиль: Положения о защите конфиденциальности (безопасности данных)

Применяется к: Организациям, которые нацелены или собирают данные от граждан Израиля.

Положения Израиля о защите конфиденциальности (безопасности данных) были приняты в мае 2017 года и вступили в силу в мае 2018 года. Закон применяется как к частному, так и к государственному секторам и направлен на то, чтобы сделать безопасность данных частью процедур управления всех организаций, обрабатывающих данные. Ожидается, что правила повысят уровень безопасности данных в стране, сделав защиту конфиденциальности сильнее, чем когда-либо.

За соблюдением правил следит орган по защите конфиденциальности ׂ(PPA). PPA может поручить базе данных внести изменения для повышения безопасности своей деятельности. Например, PPA может дать указание базам данных с низким уровнем риска реализовать положения, применимые к базам данных со средним уровнем риска.

Япония: Закон о защите личной информации (APPI)

Применяется к: Организациям, которые нацелены или собирают данные от граждан Японии.

Японский закон о защите личной информации (APPI) вступил в силу в 2005 году. Целью закона является защита личной информации граждан Японии. Все организации, которые собирают или получают личную информацию японских граждан, должны соблюдать этот закон, иначе им грозит наказание. Применение APPI обеспечивается Комиссией по защите личной информации (PPC), правительственной комиссией Японии, отвечающей за защиту личной информации..

Кения: Закон о защите данных

Применяется к: Организациям, которые занимаются или собирают данные от граждан Кении.

Закон Кении о защите данных вступил в силу 25 ноября 2019 года. Это был один из первых всеобъемлющих законов о конфиденциальности данных, принятых в Африке. Закон распространяется на организации, обрабатывающие персональные данные жителей Кении. Он очень похож на параметры закона GDPR Европейского Союза. Штрафы в соответствии с законом могут достигать 5 миллионов кенийских шиллингов (KES) или 1% от годового дохода компании за предыдущий финансовый год.

Бразилия: Lei Geral de Proteção de Dados Pessoais (LGPD)

Применяется к: Организациям, которые нацелены или собирают данные от граждан Бразилии.

Lei Geral de Proteção de Dados Pessoais (LGPD) — это закон о защите данных в Бразилии. LGPD вступил в силу 18 сентября 2020 года. За соблюдением закона следит Autoridade Nacional de Proteção de Dados, Национальный орган по защите данных Бразилии.

LGPD состоит из шестидесяти пяти статей и определяет права на использование персональных данных, включая условия, при которых персональные данные могут быть собраны, обработаны, сохранены и переданы. LGPD применяется к обработке персональных данных лиц, находящихся в Бразилии, а также к данным, которые собираются или обрабатываются в стране. Кроме того, это применимо, когда данные используются для предложения продуктов или услуг физическим лицам в Бразилии.

Маврикий: Закон о защите данных 2017 г. (DPA)

Применяется к: Организациям, которые занимаются или собирают данные от граждан Маврикия.

Закон Маврикия о защите данных 2017 г. (DPA) защищает права на неприкосновенность частной жизни физических лиц на Маврикии в отношении сбора, обработки и обращения с их личной информацией. Закон был принят Ассамблеей Маврикия 8 декабря 2017 г. и вступил в силу 15 января 2018 г. Закон о защите данных заменяет собой Закон о защите данных от 2004 г. 

DPA обеспечивается Уполномоченным по защите данных (DPC). Чтобы способствовать соблюдению Закона, DPC издает руководящие принципы и может устанавливать технические стандарты для механизмов сертификации защиты данных, а также печати и знаки защиты данных.

Новая Зеландия: Закон о конфиденциальности 2020 г.

Применяется к: Организациям, которые нацелены или собирают данные от граждан Новой Зеландии.

Закон о конфиденциальности 2020 г. вступил в силу 1 декабря 2020 г. Управлением уполномоченного по вопросам конфиденциальности Новой Зеландии. Закон направлен на поощрение и защиту частной жизни, обеспечивая основу для защиты права человека на конфиденциальность личной информации. В нем также указаны права отдельных лиц на доступ к их личной информации.

Уполномоченному по вопросам конфиденциальности предоставлено право следить за тем, чтобы организации и предприятия соблюдали Закон. Закон квалифицирует как правонарушение введение агентства в заблуждение относительно доступа к личной информации, которую оно имеет право видеть. Правонарушение может повлечь за собой штраф в размере до 10 000 долларов США (новозеландских долларов).

Регламент о защите данных Нигерии (NDPR)

Применяется к: Организациям, которые нацелены или собирают данные от граждан Нигерии.

Положение о защите данных Нигерии (NDPR) было принято в январе 2019 г. . Это относится к обработке персональных данных в Нигерии и за ее пределами. Закон защищает право на неприкосновенность частной жизни, создавая надлежащую среду для цифровых транзакций, создания рабочих мест и улучшения практики управления информацией в Нигерии.

NDPR обеспечивается Национальным агентством по развитию информационных технологий (NITDA), регулирующим органом по защите данных в Нигерии. Цель NITDA — обеспечить управление защитой данных в Африке с помощью стратегий регулирования, партнерства и постоянного совершенствования.

Катар: Закон № 13 от 2016 г.

Применяется к: Организациям, которые нацелены или собирают данные от граждан Катара.

Принятый в 2016 году Закон Катара № 13 защищает обработку персональных данных с использованием электронных средств. В нем есть элементы, аналогичные GDPR Европейского Союза. Закон № 13 включает принцип «конфиденциальность по замыслу», согласно которому организации должны учитывать вопросы конфиденциальности при проектировании и разработке продуктов и услуг. Кроме того, требуется, чтобы операторы веб-сайтов, ориентированных на детей, размещали специальные уведомления для получения явного согласия родителя или опекуна ребенка.

Южная Африка: Закон о защите личной информации (POPIA)

Применяется к: Организациям, которые нацелены или собирают данные от граждан Южной Африки.

Закон Южной Африки о защите личной информации (POPIA) был принят 1 июля 2020 г. и вступил в силу 1 июля 2021 г. Закон распространяется на любую компанию или организацию, которые обрабатывают личную информацию о резидентах Южной Африки.

Закон обеспечивает конституционное право на неприкосновенность частной жизни путем защиты личной информации. Он регулирует порядок обработки личной информации, устанавливая минимальные пороговые требования для законной обработки личной информации. Он также предоставляет резидентам Южной Африки права и средства правовой защиты для защиты их личной информации от обработки, не соответствующей Закону. POPIA установила роль информационного регулятора, устав которого заключается в обеспечении соблюдения и реализации прав, защищенных Законом.

Южная Корея: Закон о защите личной информации (PIPA)

Применяется к: Организациям, которые занимаются или собирают данные от граждан Южной Кореи.

Закон Южной Кореи о защите личной информации (PIPA) был принят 30 сентября 2011 года. Закон определяет, как обрабатывается личная информация для защиты прав и интересов своих граждан. Закон защищает личную информацию от ненужного сбора, несанкционированного использования, несанкционированного раскрытия и злоупотреблений. «Личная информация» определяется как информация о любом живом человеке, позволяющая идентифицировать его по имени, регистрационному номеру, изображению и т. д.

Турция: Закон о защите персональных данных № 6698 

Применяется к: Организациям, которые нацелены или собирают данные от граждан Турции.

Закон Турции о защите персональных данных № 6698 был принят 7 апреля 2016 г. Целью Закона является защита прав и свобод жителей Турции, в частности права на неприкосновенность частной жизни при использовании и обработке персональных данных. данные. Закон запрещает обработку или хранение персональных данных без явного согласия субъекта данных.

Уганда: Закон о защите данных и конфиденциальности, 2019 г.

Применяется к: Организациям, которые нацелены или собирают данные от граждан Уганды.

Закон Уганды о защите данных и конфиденциальности от 2019 г. основан на статье 27 Конституции Республики Уганда (1995 г.) для защиты сбора, обработки и хранения личных данных граждан Уганды. В законе указывается, что персональные данные должны собираться законным и справедливым образом, а также должны быть адекватными, точными и безопасными. В нем также указано, что данные не должны храниться дольше, чем это необходимо, и не должны передаваться за пределы юрисдикции их сбора.

Уругвай: Закон о защите данных

Применяется к: Контролерам в Уругвае, которые обрабатывают персональные данные.

Закон Уругвая о защите данных Закон № 18.331 вступил в силу 11 августа 2008 года. Он требует регистрации всех баз данных, содержащих персональные данные граждан или юридических лиц. Закон определяет «персональные данные» как информацию о гражданах или юридических лицах, которая идентифицируется или может быть идентифицирована. Для сбора персональных данных закон требует, чтобы обработчики данных получили предварительное документальное согласие. Кроме того, персональные данные не могут быть использованы в целях, отличных от указанных при получении согласия.

Чтобы узнать больше о конфиденциальности данных, управлении и их значении для маркетинговых организаций, ознакомьтесь с нашими текущими новостями здесь.

CCPA и CPRA

 

На этой тематической странице собраны материалы, анализ и соответствующие ресурсы IAPP, касающиеся Закона штата Калифорния о конфиденциальности потребителей и Закона штата Калифорния о правах на конфиденциальность.

В июне 2018 года был подписан закон CCPA, в соответствии с которым для калифорнийцев были созданы новые права на неприкосновенность частной жизни, а для предприятий — новые важные обязательства по защите данных. Закон CCPA вступил в силу 1 января 2020 года. Генеральная прокуратура Калифорнии обладает правоприменительными полномочиями.

CPRA, инициатива голосования, вносящая поправки в CCPA и включающая дополнительные меры защиты конфиденциальности для потребителей, принятая в ноябре 2020 г. Большинство положений CPRA вступит в силу 1 января 2023 г. с оглядкой на январь 2022 г.

CPRA учредило Калифорнийское агентство по защите конфиденциальности для реализации и обеспечения соблюдения закона. Генеральный прокурор также сохраняет за собой гражданские правоприменительные полномочия.

Избранные ресурсы Последние новости и ресурсы Ресурсы соответствия

Избранные ресурсы

Правоприменительные меры CCPA: тематическое исследование

Штраф в размере 1,2 миллиона долларов США, наложенный в соответствии с Законом Калифорнии о конфиденциальности потребителей в отношении розничного продавца Sephora, уведомил предприятия о том, что Генеральная прокуратура Калифорнии готова принять жесткие меры в случае неправильного обращения с данными. Первое в истории правоприменение в соответствии с CCPA также демонстрирует интерпретацию закона генеральным прокурором, особенно в том, что касается продажи данных и отказа потребителей. В этой статье объясняется, что означает чтение генерального прокурора для продвижения бизнеса.
Подробнее

Топ-10 операционных последствий CPRA

Это серия из 10 статей, предназначенная для того, чтобы помочь специалистам в области конфиденциальности понять операционные последствия Закона о правах на неприкосновенность частной жизни штата Калифорния, в том числе то, как он изменяет текущие права и обязанности, установленные Калифорнийский закон о конфиденциальности потребителей.
Подробнее

Отслеживание законодательства, связанного с CCPA/CPRA

В Законодательном собрании Калифорнии находятся на рассмотрении законопроекты, которые вносят поправки в CCPA и/или CPRA или иным образом влияют на то, как организации понимают или подходят к каждому закону. Этот трекер включает номер законопроекта и краткое изложение предлагаемого законодательства, а также статус и последнее законодательное действие.
Подробнее

---

Вернуться к началу

Последние новости и ресурсы

Льготный период CCPA/CPRA для HR и B2B заканчивается 1 января

31 августа надежды не оправдались, когда сессия законодательного органа Калифорнии завершилась без принятия закона Ассамблеи 1102. Законопроект продлил бы льготные периоды для определенной личной информации, касающейся бизнеса и человеческих ресурсов, в соответствии с Законом Калифорнии о конфиденциальности потребителей с поправками, внесенными Калифорнийским законом. Закон о правах на неприкосновенность частной жизни. CCPA/CPRA полностью заработает 1 января 2023 года для личной информации B2B и HR и будет подчиняться тем же строгим правилам конфиденциальности Калифорнии, что и «потребитель»… Читать далее

очередь Сохранить

Дело Sephora: не продавайте — но продаете ли вы?

Компании едва успели оправиться от беспокойного лета, когда американское законодательство о конфиденциальности достигло прогресса на Холме, а Федеральная торговая комиссия США запустила широкомасштабную нормотворческую инициативу, когда генеральный прокурор Калифорнии Роб Бонта произвел эффект разорвавшейся бомбы: первое правоприменительное соглашение в соответствии с Калифорнийский закон о конфиденциальности потребителей. В соответствии с мировым соглашением французский косметический бренд Sephora заплатит штраф в размере 1,2 миллиона долларов и будет соблюдать ряд обязательств по соблюдению требований. Атторн… Читать далее

очередь Сохранить

Генеральный прокурор Калифорнии объявляет о первом правоприменительном иске CCPA

С тех пор, как закон вступил в силу в январе 2020 года, было много лая в связи с применением Закона о конфиденциальности потребителей Калифорнии, и теперь укус прибыл. Генеральный прокурор Калифорнии Роб Бонта объявил о первом принудительном иске в соответствии с CCPA, урегулировании на 1,2 миллиона долларов с многонациональным ритейлером Sephora за нарушения положений закона «Не продавать». По данным прокуратуры, нарушение со стороны Sephora касалось, в частности, неуведомления физических лиц о продаже… Читать далее

очередь Сохранить

CPPA вновь заявляет о противодействии Закону США о конфиденциальности и защите данных лидерам Палаты представителей США

Исполнительный директор Калифорнийского агентства по защите конфиденциальности Ашкан Солтани написал письмо спикеру Палаты представителей США Нэнси Пелоси, штат Калифорния, и лидеру меньшинства в Палате представителей Кевину Маккарти, штат Калифорния, удвоив свое несогласие с предложенным американским Законом о конфиденциальности и защите данных. Солтани сказал руководству Палаты представителей, что «решительный упреждающий удар» ADPPA направлен на «устранение важных мер защиты и значительное ослабление конфиденциальности, которой в настоящее время пользуются калифорнийцы». Солтани назвал упреждение «аномалией для федеральной частной… Читать далее

очередь Сохранить

CPPA запускает процесс нормотворчества CPRA

Калифорнийское агентство по защите конфиденциальности официально запустило формальный процесс нормотворчества для Калифорнийского закона о правах потребителей на конфиденциальность. В начале июня CPPA объявила о проекте правил, которые сохраняют ранее существовавшие положения Калифорнийского закона о конфиденциальности потребителей, изменяя при этом некоторые положения и предлагая новые правила. Общественность приглашается принять участие в нормотворческом процессе, предоставив письменные комментарии до 23 августа или приняв участие в публичных слушаниях, запланированных на 24 и 25 августа, оба в. .. Читать далее

очередь Сохранить

	Веб-конференция: анализ CPRA и прогнозы на 2023 год (IAPP, июнь 2022 г.)
	Соблюдение требований Закона штата Калифорния о конфиденциальности потребителей в процессе обработки запросов потребителей (IAPP, июнь 2022 г.)
	Веб-конференция: готовы к CPRA? Прагматичные шаги, которые нужно предпринять сейчас (IAPP, июнь 2022 г.)
	Веб-конференция: CPRA и не только: соблюдение будущих законов штата о конфиденциальности (IAPP, июнь 2022 г.)
	Правление CPPA продвигает процесс нормотворчества CPRA вперед (IAPP, июнь 2022 г.)
	Веб-конференция: Основные причины, по которым ваша стратегия соблюдения требований CPRA не работает, и как это исправить (IAPP, июнь 2022 г. )
	Специалисты по конфиденциальности подводят итоги неожиданного проекта правил CPRA (IAPP, июнь 2022 г.)
	Курс CPPA Board Charts для нормотворчества CPRA (IAPP, май 2022 г.)
	CPRA для работодателей: разработка и публикация уведомления о конфиденциальности данных отдела кадров (Littler, апрель 2022 г.)
	CPRA для работодателей: требования к заключению контрактов с поставщиками (Littler, апрель 2022 г.)
	Веб-конференция: результаты последних исследований состояния соблюдения прав на конфиденциальность в соответствии с CCPA и GDPR (IAPP, апрель 2022 г.)
	Веб-конференция: Состояние CCPA: оглядываясь назад, чтобы подготовиться к тому, что будет дальше (IAPP, март 2022 г. )
	Регламенты CPRA отложены до крайнего срока 1 июля, ожидается в третьем или четвертом квартале (IAPP, февраль 2022 г.)
	CPPA публикует публичные комментарии к правилам CPRA (IAPP, декабрь 2021 г.)
	Статус работы Калифорнийского агентства по защите конфиденциальности (IAPP, декабрь 2021 г.)
	Готовность к воздействию: семинар PSR21 посвящен аспектам CPRA (IAPP, октябрь 2021 г.)
	Веб-конференция: от CCPA к CPRA: что изменилось и что вам нужно сделать (IAPP, октябрь 2021 г.)
	Выпускник FTC Ашкан Солтани выбран руководителем CPPA (IAPP, октябрь 2021 г.)
	CPRA может воспрепятствовать существующим правам на работу (IAPP, сентябрь 2021 г. )
	10 главных выводов из примеров судебных дел о правоприменении CCPA, проводимых California AG (IAPP, сентябрь 2021 г.)
	Как ответчики атакуют требования CCPA (IAPP, август 2021 г.)
	Веб-конференция: Ваш путь к соблюдению CPRA за 60 дней (IAPP, июль 2021 г.)
	Генеральный прокурор Калифорнии предлагает обновленную информацию о соблюдении закона CCPA и запускает инструмент отчетности (IAPP, июль 2021 г.)
	Взгляд на первое собрание Калифорнийского агентства по защите конфиденциальности (IAPP, июнь 2021 г.)
	Сравнение всеобъемлющих законов о конфиденциальности данных в Вирджинии и Калифорнии (IAPP, май 2021 г. )
	Что говорят назначения CPPA о приоритетах правоприменения, стратегии (IAPP, март 2021 г.)
	Взгляд на возможные проблемы соблюдения CPRA (IAPP, август 2021 г.)
	Новые нормативные положения CCPA направлены на уточнение бизнес-требований (IAPP, март 2021 г.)
	Анализ новых договорных требований CPRA в отношении передачи личной информации (IAPP, март 2021 г.)
	Неоднозначность в CPRA ставит под угрозу контент, предназначенный для недостаточно представленных сообществ (IAPP, ноябрь 2021 г.)
	Новые категории, новые права: положение CPRA об отказе от конфиденциальных данных (IAPP, февраль 2021 г. )
	Краткое изложение договорных обязательств CPRA (IAPP, февраль 2021 г.)
	Prop 24 проходит в Калифорнии, прокладывая путь для CPRA (IAPP, ноябрь 2020 г.)
	Веб-конференция: наша позиция в отношении CPRA и как это влияет на вашу организацию (IAPP, ноябрь 2020 г.)
	Consumer Reports: CCPA — защищены ли цифровые права потребителей (Consumer Reports, октябрь 2020 г.)
	Независимо от того, да или нет, ставки для законопроекта 24 штата Калифорния высоки (IAPP, октябрь 2020 г.)
	Подкаст: Аластер Мактаггарт в California’s Prop 24 (IAPP, октябрь 2020 г.)
	LinkedIn Live: «Спросите эксперта: Лотар Детерманн о конфиденциальности потребителей в Калифорнии» (IAPP, октябрь 2020 г. )
	Брокеры данных: предварительный просмотр новой редакции «Закона о конфиденциальности штата Калифорния» (IAPP, октябрь 2020 г.)
	Обзор судебных разбирательств CCPA (IAPP, октябрь 2020 г.)
	Обновление CCPA: комментарии генерального прокурора Калифорнии, подписание новых поправок к закону (IAPP, октябрь 2020 г.)
	Сравнительный анализ запросов субъектов данных, связанных с CCPA (IAPP, октябрь 2020 г.)
	Что означает «целевое ограничение» CCPA для бизнеса? (IAPP, сентябрь 2020 г.)
	Веб-конференция: как ограничить воздействие и минимизировать риски в соответствии с CCPA (IAPP, сентябрь 2020 г. )
	Собака CCPA, которая не лаяла: Мораторий для B2B и сотрудников продлен на один год (IAPP, сентябрь 2020 г.)
	Рекомендации для издателей цифровых медиа и рекламодателей, стремящихся привлечь рекламные компании в качестве «поставщиков услуг CCPA» (Инициатива сетевой рекламы, сентябрь 2020 г.)
	Веб-конференция: Конфиденциальность и правила: что дальше после CCPA? (IAPP, август 2020 г.)
	CPRA обещает краткосрочные выгоды для потребителей, долгосрочная неопределенность (IAPP, июль 2020 г.)
	Обновления Генерального прокурора Калифорнии Часто задаваемые вопросы о CCPA (IAPP, июль 2020 г.)
	Проект правил CCPA: уведомления о конфиденциальности и доступность в контексте трудоустройства (IAPP, июль 2020 г. )
	Новый проект правил CCPA: Проверка личности (IAPP, июнь 2020 г.)
	Судебные разбирательства CCPA: формирование контуров частного права на иск (IAPP, июнь 2020 г.)
	Веб-конференция: Правоприменение CCPA: чего ожидать после 1 июля (IAPP, июнь 2020 г.)
	Преобладает ли CPRA 3 ноября? (IAPP, июнь 2020 г.)
	На слушаниях в Калифорнии критики ставят под сомнение выбор времени CPRA (IAPP, июнь 2020 г.)
	Веб-конференция: все, что вам нужно знать о CPRA/CCPA 2.0 (IAPP, июнь 2020 г.)
	Веб-конференция: Извлеченные уроки в области защиты прав потребителей CCPA и прав субъектов данных GDPR (IAPP, июнь 2020 г. )
	Веб-конференция: влияние CCPA и GDPR на управление данными (IAPP, май 2020 г.)
	Веб-конференция: Закон штата Калифорния о правах на неприкосновенность частной жизни: что ждет впереди? (IAPP, май 2020 г.)
	LinkedIn Live: обсуждение инициативы по голосованию за соблюдение прав на конфиденциальность в Калифорнии (IAPP, май 2020 г.)
	Инициатива CPRA переходит к выборке, регистрация CCPA, вероятно, задерживается (IAPP, май 2020 г.)
	10 важнейших положений CPRA (IAPP, май 2020 г.)
	Анализ CPRA: «хорошие» и «плохие» новости для «предприятий», регулируемых CCPA (IAPP, май 2020 г. )
	Инфографика: CCPA Enforcement (IAPP, май 2020 г.)
	Веб-конференция: CCPA уже здесь: уроки, извлеченные из первых нескольких месяцев (IAPP, май 2020 г.)
	Руководство по сбору личной информации в соответствии с Законом штата Калифорния о конфиденциальности потребителей от 2018 г. (Termageddon, апрель 2020 г.)
	Подпадают ли IP-адреса под «личную информацию» CCPA? (IAPP, апрель 2020 г.)
	Инфографика: 10 наиболее важных положений CPRA (IAPP, апрель 2020 г.)
	Законы о защите данных 101: Роль рекрутера в Законе штата Калифорния о конфиденциальности (Lever, февраль 2020 г.)
	Часто задаваемые вопросы CCPA: файлы cookie, рекламные технологии и поставщики услуг (Брайан Кейв Лейтон Пайснер, февраль 2020 г. )
	Брайан Кейв – Практическое руководство CCPA (IAPP, январь 2020 г.)
	The Litigator’s Handbook: ответы на 50 часто задаваемых вопросов, касающихся судебных разбирательств и CCPA (Bryan Cave Leighton Paisner, январь 2020 г.)
	Используют ли компании семантику, чтобы обойти положение CCPA о «продаже»? (МАПП, январь 2020 г.)
	Обзор методов обеспечения конфиденциальности в розничной торговле (Брайан Кейв Лейтон Пейснер, январь 2020 г.)
	Влияние закона CCPA на гражданские судебные процессы (IAPP, январь 2020 г.)
	После вступления в силу закона CCPA последуют ли другие штаты? (IAPP, январь 2020 г. )
	Что необходимо знать о «третьих лицах» в соответствии с GDPR и CCPA (IAPP, ноябрь 2019 г.)
	Взгляд одной юридической фирмы на новый проект правил CCPA (IAPP, октябрь 2019 г.)
	Критики говорят, что предложенные генеральным прокурором правила CCPA вносят путаницу, а не ясность (IAPP, октябрь 2019 г.)
	Белая книга — 5 шагов, которые необходимо предпринять для подготовки к CCPA (IAPP, октябрь 2019 г.)
	GDPR и CCPA: история совместимости (IAPP, октябрь 2019 г.)
	Подкаст The Privacy Advisor: некоторые взгляды отрасли на измененный CCPA (IAPP, сентябрь 2019 г.)
	На основной сцене Мактаггарт обращается к своему «новому» CCPA (IAPP, сентябрь 2019 г. )
	Подкаст консультанта по конфиденциальности: CCPA в его окончательной форме (IAPP, сентябрь 2019 г.)
	Ознакомьтесь с последними обновлениями поправок к CCPA (IAPP, сентябрь 2019 г.)
	Обновление поправок CCPA: Изменения в счетах технических исправлений и программ лояльности (IAPP, сентябрь 2019 г.)
	Управление раскрытием и продажей личной информации в соответствии с CCPA (IAPP, август 2019 г.)
	Крупный план обезличенных данных в соответствии с CCPA (IAPP, август 2019 г.)
	Что один из архитекторов CCPA будет внимательно наблюдать с Сакраменто на сессии (IAPP, август 2019 г.)
	Сравнительная таблица CCPA и GDPR (Практическое право, август 2019 г. )
	Внедрение CCPA: руководство для глобального бизнеса, второе издание (IAPP, август 2019 г.)
	Обновление CCPA: Комитет Сената отменяет поправки (IAPP, июль 2019 г.)
	Подготовка к CCPA: начните бенчмаркинг прямо сейчас (IAPP, июнь 2019 г.)
	Приложение по обработке данных для CCPA? (IAPP, июнь 2019 г.)
	Сравнение новых законов штата Мэн и Невады о конфиденциальности с CCPA (IAPP, июнь 2019 г.)
	Уведомление TheScore о конфиденциальности проанализировано на соответствие CCPA (IAPP, май 2019 г.)
	Шифрование, редактирование и CCPA (IAPP, май 2019 г. )
	Конкурирующие поправки к закону о скульптуре (IAPP, апрель 2019 г.)
	Законодатели штата Калифорния сглаживают некоторые острые углы, связанные с CCPA (IAPP, апрель 2019 г.)
	Законодательное собрание штата обсуждает поправку 9 к рекламным технологиям CCPA0019 (IAPP, апрель 2019 г.)
	CCPA предлагает минимальные преимущества для деидентификации, псевдонимизации и агрегации (IAPP, январь 2019 г.)
	Сравнение законов о конфиденциальности: GDPR против CCPA (DataGuidance and the Future of Privacy Forum, декабрь 2018 г.)
	Анализ: Закон Калифорнии о конфиденциальности потребителей от 2018 г. (IAPP, июль 2018 г. )
	Соответствие GDPR: Закон Калифорнии о конфиденциальности потребителей 2018 г. (IAPP, июль 2018 г.)
	Веб-конференция: Понимание Закона Калифорнии о конфиденциальности потребителей от 2018 г. (IAPP, июль 2018 г.)
	Новый закон Калифорнии о конфиденциальности затронет более полумиллиона американских компаний (IAPP, июль 2018 г.)
	Закон штата Калифорния о конфиденциальности, четвертое издание (IAPP, июнь 2018 г.)

Просмотреть дополнительные ресурсы

---

Вернуться к началу

Ресурсы соответствия

Льготный период CCPA/CPRA для HR и B2B заканчивается 1 января

31 августа надежды не оправдались, когда сессия законодательного органа Калифорнии завершилась без принятия закона Ассамблеи 1102. Законопроект продлил бы льготные периоды для определенной личной информации, касающейся бизнеса и человеческих ресурсов, в соответствии с Законом Калифорнии о конфиденциальности потребителей с поправками, внесенными Калифорнийским законом. Закон о правах на неприкосновенность частной жизни. CCPA/CPRA полностью заработает 1 января 2023 года для личной информации B2B и HR и будет подчиняться тем же строгим правилам конфиденциальности Калифорнии, что и «потребитель»… Читать далее

очередь Сохранить

Соблюдение процесса обработки запросов потребителей в соответствии с Законом штата Калифорния о конфиденциальности потребителей.

Калифорнийский закон о защите прав потребителей дает жителям Калифорнии право знать, какую личную информацию компания собирает о них и как она используется. Закон также налагает обязательства на предприятия, чтобы гарантировать, что потребители могут воспользоваться этим правом. Несмотря на то, что CCPA и его положения обеспечивают основу, реализация процесса запросов потребителей может быть сложной. Две проблемы соответствия, которые создают проблемы для организаций, подпадающих под действие CCPA: Объем предмета информации… Читать далее

очередь Сохранить

Веб-конференция: CPRA и не только: соблюдение будущих законов штата о конфиденциальности

Исходная дата трансляции: 9 июня 2022 г. На этой веб-конференции вы узнаете о сходствах и основных различиях между всеобъемлющими законами о конфиденциальности потребителей в Калифорнии, Колорадо, Коннектикуте, Юте и Вирджинии, о том, как эффективно составлять документы о конфиденциальности без дублирования усилий, а также о дальнейших изменениях посредством регулирования или поправок, чтобы следить за ними. и как поддерживать документы в актуальном состоянии. Читать далее

очередь Сохранить

Веб-конференция: Основные причины, по которым ваша стратегия соблюдения CPRA не работает, и как это исправить

Исходная дата трансляции: 8 июня 2022 г. На этой веб-конференции участники дискуссии обсудят, как исправить вашу стратегию соблюдения требований для беспрепятственного плавания в водах CPRA. Основные выводы включают в себя обзор требований CPRA и новых обязательств, налагаемых на предприятия, почему вам нужна стратегическая и надежная структура хранения данных для соблюдения CPRA, а также ключевые элементы для успешного внедрения вашей программы соблюдения CPRA. Читать далее

очередь Сохранить

Внедрение CCPA: Руководство для глобального бизнеса, второе издание

(Сентябрь 2019 г.) — Эта книга призвана помочь людям, которые возглавляют деятельность компании в области CCPA, чтобы они могли разобраться в том, что необходимо для соблюдения требований, и сделать выбор в отношении того, как лучше действовать, с учетом рисков. Цель состоит в том, чтобы помочь компаниям, которые не хотят стать объектом коллективных исков после вступления в силу 1 января 2020 года закона CCPA, не стать «легко висящими фруктами». Читать далее

очередь Сохранить

	Веб-конференция: результаты последних исследований состояния соблюдения прав на конфиденциальность в соответствии с CCPA и GDPR (IAPP, апрель 2022 г.)
	CPRA для работодателей: разработка и публикация уведомления о конфиденциальности данных отдела кадров (Литтлер, апрель 2022 г.)
	CPRA для работодателей: требования к заключению контрактов с поставщиками (Литтлер, апрель 2022 г.)
	Веб-конференция: Ваш путь к соблюдению CPRA за 60 дней (IAPP, июль 2021 г.)
	Веб-конференция: CPRA: Проблемы обновления вашей программы конфиденциальности… Снова (IAPP, январь 2021 г.)
	CCPA, скрытая классификация CPRA «бизнес третьей стороны» (IAPP, октябрь 2020 г. )
	Веб-конференция: LGPD, GDPR, CCPA и др. – Как соблюдать несколько законов о конфиденциальности (IAPP, сентябрь 2020 г.)
	CCPA и данные сотрудников: контрольный список соответствия (IAPP, август 2020 г.)
	Веб-конференция: ландшафт CCPA: почему недостаточно минимального соответствия (IAPP, июнь 2020 г.)
	Руководство по сбору личной информации в соответствии с Законом штата Калифорния о конфиденциальности потребителей от 2018 г. (Termageddon, апрель 2020 г.)
	Веб-конференция: обработка DSAR — уроки первых дней существования CCPA (IAPP, апрель 2020 г.)
	Что директор по персоналу должен знать о CCPA? (МАПП, март 2020 г. )
	Смогут ли частные стороны обеспечить соблюдение положений CCPA? (IAPP, февраль 2020 г.)
	Инфографика: Как избежать ловушек несоблюдения CCPA (IAPP, декабрь 2019 г.)
	Белая книга – Ведение переговоров с поставщиками услуг и третьими сторонами в соответствии с CCPA (IAPP, декабрь 2019 г.)
	Готовность CCPA: третья волна (IAPP, декабрь 2019 г.)
	Веб-конференция: подготовка к CCPA без выкипания океана данных (IAPP, декабрь 2019 г.)
	Google разрешит сайтам блокировать таргетированную рекламу в соответствии с CCPA (IAPP, ноябрь 2019 г.)
	Потенциальное влияние CCPA на автомобилестроение: часть II (IAPP, октябрь 2019 г. )
	Потенциальное влияние CCPA на автомобилестроение (IAPP, октябрь 2019 г.)
	Платформа помогает организациям глубже изучить GDPR, CCPA (IAPP, октябрь 2019 г.)
	Образец уведомления о конфиденциальности CCPA (МАПП, сентябрь 2019 г.)
	Работодатели получают в последнюю минуту отсрочку от наиболее обременительных обязательств по соблюдению Закона о соответствии законам США и законодательства (IAPP, сентябрь 2019 г.)
	Стремитесь к соответствию CCPA? Определите отношения с поставщиками (IAPP, сентябрь 2019 г.)
	Освобождение от CCPA добавляет соображения соответствия для руководителей банковских служб (IAPP, сентябрь 2019 г. )
	Уникальные проблемы, которые CCPA ставит перед МСП (IAPP, сентябрь 2019 г.)
	Почему «подтвержденный потребительский запрос» CCPA представляет собой коммерческий риск (IAPP, август 2019 г.)
	Веб-конференция: что делать, если согласие не работает в соответствии с CCPA (IAPP, август 2019 г.)
	Веб-конференция: Соответствие требованиям CCPA: автоматизация приема и выполнения запросов потребителей (IAPP, август 2019 г.)
	Белая книга — Закон штата Калифорния о конфиденциальности потребителей: три требования для эффективного соблюдения (Exterro, август 2019 г.)
	Услуга позволяет компаниям настраивать платные номера перед CCPA (IAPP, август 2019 г. )
	Руководство по соответствию требованиям CCPA (Skaden, август 2019 г.)
	Как узнать, является ли ваш поставщик «поставщиком услуг» в соответствии с CCPA (IAPP, июль 2019 г.)
	Инфографика: Ваш бизнес нуждается во вмешательстве CCPA? (Трутман Сандерс, июль 2019 г.)
	Регулирует ли CCPA внутренние переводы? (IAPP, июнь 2019 г.)
	CCPA: Что должны знать компании в области здравоохранения, биотехнологий и медико-биологических наук (IAPP, июнь 2019 г.)
	Технический документ — Операция по обеспечению соответствия требованиям CCPA: предоставление доступа к данным через учетные записи (IAPP, июнь 2019 г. )
	Существуют ли совместные контролеры в рамках CCPA? (IAPP, май 2019 г.)
	Сообщение Global Privacy Summit: как использовать работу GDPR для соответствия требованиям CCPA (IAPP, май 2019 г.)
	Могут ли организации продавать данные о детях в соответствии с CCPA? (IAPP, май 2019 г.)
	Что работодатели должны делать с CCPA? (IAPP, апрель 2019 г.)
	Что означает CCPA для колледжей и университетов? (IAPP, март 2019 г.)
	С чего начать внедрение CCPA (IAPP, январь 2019 г.)
	Веб-довод: «Изменения в законе о конфиденциальности штата Калифорния и их влияние на бренды» (IAPP, ноябрь 2018 г. No related posts. alexxlab Автор записи Добавить комментарий Отменить ответ Ваш адрес email не будет опубликован. Обязательные поля помечены * Комментарий * Имя * Email * Сайт