19 федерального закона о персональных данных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

Защита персональных данных

ПОЛИТИКА в области обработки и защиты персональных данных в ООО «ТОЙО ТАЯ РУС»

1. Общие положения

1.1. Настоящая политика в области обработки и защиты персональных данных в ООО «ТОЙО ТАЯ РУС» (далее по тексту - Политика):

  • разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных;
  • раскрывает основные категории персональных данных, обрабатываемых в ООО «ТОЙО ТАЯ РУС» (далее по тексту - Оператор), цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке;
  • является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

2. Правовые основания и цели обработки персональных данных

2.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;

- Положение об обработке персональных данных, осуществляемых без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15.09.2008 № 687;

- Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке и информационных системах персональных данных»;

- Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».

2.2. В целях реализации положений Политики Оператором разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

- приказ об организации работ по обеспечению безопасности персональных данных;

- положение об обработке и защите персональных данных в ООО «ТОЙО ТАЯ РУС»;

- перечень обрабатываемых персональных данных;

- перечень должностей, замещение которых предусматривает осуществление обработки персональных данных;

- инструкция работников Оператора, допущенных к обработке конфиденциальной информации и персональных данных;

- должностная инструкция ответственного за обеспечение безопасности персональных данных;

- иные локальные нормативные акты и документы, регламентирующие в ООО «ТОЙО ТАЯ РУС» вопросы обработки персональных данных;

2.3. Цели обработки персональных данных:

- исполнение положений нормативных правовых актов, указанных в п.2.1 настоящей Политики;

- ведение кадрового учета работников Оператора и начисления им заработной платы;

- осуществление функций, полномочий и обязанностей Оператора по предоставлению персональных данных в органы государственной власти, Федеральную налоговую службу РФ, Пенсионный фонд РФ, Фонд социального страхования, а также в иные государственные органы;

- обеспечение личной безопасности работников Оператора, содействие в трудоустройстве, обучении и продвижении по службе, контроль количества и качества выполняемой работы и обеспечения сохранности имущества;

- обеспечение соблюдения пропускного и объектового режима в помещениях Оператора;

- подготовка, заключение, исполнение и прекращение договоров с контрагентами;

- осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора или третьих лиц, либо достижения общественно значимых целей;

- иные законные цели.

3. Термины и определения, используемые в локальных нормативных актах, регламентирующих вопросы обработки персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Информация - сведения (сообщения, данные) независимо от формы их представления.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4. Перечень обрабатываемых персональных данных и источники их получения

4.1 Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Оператора с учетом целей обработки персональных данных, указанных в п.2.3 Политики.

4.2 Получение сведений о персональных данных осуществляется на основании документов и информации, представленных лично работниками Оператора в процессе трудовых отношений, а также предоставленных субъектами персональных данных, обратившихся к Оператору в рамках подготовки, заключения, исполнения и прекращения договоров с контрагентами.

5. Основные принципы обработки и передачи персональных данных

5.1 Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2 Оператором в целях внутреннего информационного обеспечения используются общедоступные источники персональных данных (справочник, официальный информационный сайт). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, дата рождения, абонентский номер, сведения о замещаемой должности) включаются в такие источники только с письменного согласия субъекта персональных данных.

5.3 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

6. Меры по обеспечению безопасности персональных данных при их обработке

6.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2 Обеспечение безопасности персональных данных достигается, в частности:

- назначением ответственного за обеспечение безопасности персональных данных;

- осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;

- ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

- обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

- организацией режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечением сохранности носителей персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных.

8. Права субъектов персональных данных

8.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

8.2 Субъект персональных данных вправе требовать от Оператора уточнения обрабатываемых Оператором персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

8.4 Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

8.5 Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

8.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Сроки обработки (хранения) персональных данных

Течение срока обработки персональных данных начинается с момента их получения Оператором.

Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.

Персональные данные работников Оператора, в том числе родственников работника, используются в течение трудовой деятельности в соответствии с трудовым договором, а также на протяжении установленного законодательством срока хранения личного дела в архиве (75 лет).

Персональные данные граждан, обратившихся к Оператору в установленном порядке, хранятся в делах структурных подразделений Оператора в течение срока, определённого законодательством и номенклатурой дел Оператора (3 года).

10. Уточнение, блокирование и уничтожение персональных данных

10.1 Целью уточнения персональных данных, в том числе обновления и изменения, является обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Оператором.

10.2 Уточнение персональных данных осуществляется Оператором по собственной инициативе, по требованию субъекта персональных данных или его представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случаях, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.

10.3 Целью блокирования персональных данных является временное прекращение обработки персональных данных до момента устранения обстоятельств, послуживших основанием для блокирования персональных данных.

10.4 Блокирование персональных данных осуществляется Оператором по требованию субъекта персональных данных или его представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.

10.5 Уничтожение персональных данных осуществляется Оператором:

- по достижении цели обработки персональных данных;

- в случае утраты необходимости в достижении целей обработки персональных данных;

- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных.

10.6 При уничтожении материальных носителей персональных данных составляется акт об уничтожении носителей, содержащих персональные данные.

11. Заключительные положения

11.1 Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте Оператора.

11.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не чаще одного раза в три года.

11.3 Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных.

11.4 Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.

Политика ОАО «Аэропорт Толмачево» в отношении обработки персональных данных

Политика Общества в отношении обработки персональных данных (далее — Политика) публикуется на официальном сайте Общества в соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Она определяет основные направления деятельности Общества в области обработки и защиты персональных данных, соблюдения прав субъектов персональных данных.

Определения

Персональные данные —  любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор,  запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Безопасность персональных данных — защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Цели обработки персональных данных

Обработка персональных данных Обществом осуществляется в целях:

  • содействия работникам в трудоустройстве;
  • обеспечения личной безопасности работников;
  • контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества работника и Общества;
  • осуществления производственной деятельности в соответствии с полномочиями, возложенными на Общество законодательством Российской Федерации, а также Уставом Общества.

Общие положения

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав субъектов персональных данных, Общество обеспечивает надежную защиту их персональных данных.

Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), других определяющих случаи и особенности обработки персональных данных федеральных законов, подзаконных актов, руководящих и методических документов ФСТЭК России и ФСБ России.

Общество осуществляет обработку персональных данных смешанным способом (как автоматизированная, так и без использования средств автоматизации — неавтоматизированная).

Требования по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств автоматизации, а также при неавтоматизированной обработке, установлены соответствующими инструкциями Общества.

Сроком или условием прекращения обработки персональных данных является прекращение деятельности Общества (ликвидация), изменение состава полномочий, возложенных на Общество, истечение сроков хранения, установленных законодательством Российской Федерации.

Принцип обработки персональных данных

Обработка персональных данных осуществляется на законной основе.

Обществом не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации).

Конкретные цели определяются до начала обработки персональных данных.

Осуществляется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Уничтожение персональных данных проводится по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Обработка персональных данных допускается в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.


Права субьектов персональных данных в части обработки их персональных данных

Субъект, персональные данные которого обрабатываются в Обществе, имеет право:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать свое согласие на обработку персональных данных;
  • требовать устранения неправомерных действий Общества в отношении его персональных данных;
  • обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона  «О персональных данных» или иным образом нарушает его права и свободы;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

получать информацию:

  • о подтверждении факта обработки персональных данных Обществом;
  • о правовых основаниях и целях обработки персональных данных;
  • о применяемых Обществом способах обработки персональных данных;
  • о наименовании и местонахождении Общества;
  • о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
  • перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
  • сведения о сроках обработки персональных данных, в том числе сроках их хранения;
  • об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
  • сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных»;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

Общество обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

Сведения о наличии персональных данных предоставляются субъекту персональных данных в доступной форме, и в них не содержатся персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения о реализуемых требованиях к защите персональных данных

Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в соответствии со статьями 18.1 и 19 Федерального закона  «О персональных данных», в частности, относятся:

  • назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях;
  • разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
  • применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных», подзаконным нормативным актам и локальным актам Общества;
  • соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
  • ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Общества.

Заключительные положения

  • Пересмотр положений настоящей Политики проводится в следующих случаях:
  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
  • при изменении целей обработки персональных данных;
  • при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества;
  • по результатам контроля выполнения требований по обработке и защите персональных данных;
  • по решению руководства Общества.

Обработка персональных данных в рамках предотвращения распространения COVID-19

Юридическая компания «Пепеляев Групп» информирует о некоторых нюансах обработки персональных данных, которая осуществляется для целей предотвращения распространения коронавирусной инфекции.

Одной из обязанностей компаний по предотвращению распространения инфекции является контроль температуры тела работников. И от этого возникают вопросы и по обработке персональных данных (далее – «ПДн»), ведь результаты измерения температуры очевидно относятся к специальной категории ПДн – сведениям о состоянии здоровья.

Для обработки специальных категорий ПДн оператору необходимо обеспечить соответствующее правовое основание. Роскомнадзор давал по данному вопросу разъяснения[1].

Так, в частности, в отношении работников измерение температуры возможно в силу прямого указания на это Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (п. 2.3 ч. 2 ст. 10).

Если же компанией принято решение о сборе и, что особенно важно, о хранении результатов измерения температуры иных лиц, кроме работников (в частности, посетителей, работников кадровых агентств и т.д.), прямые нормы закона, позволяющие это делать, отсутствуют. Поэтому для таких случаев мы рекомендуем компаниям получать письменные согласия на обработку ПДн со всеми реквизитами, предусмотренными ч. 4 ст. 9 ФЗ «О персональных данных».

Напомним, что если по результатам мероприятий по противодействию распространения коронавирусной инфекции у компаний изменяются (дополняются) процессы обработки ПДн – в частности, дополняются категории обрабатываемых ПДн, появляются дополнительные цели их обработки, - это является основанием для направления информационного письма в Роскомнадзор (ч. 7 ст. 22 ФЗ «О персональных данных»).

Отдельно необходимо обратить внимание на процесс внесения результатов измерений температуры работников в журналы, что особенно актуально для компаний, которым с ними помогают сторонние лица – например, работники кадровых агентств, сидящие на ресепшн, работники ЧОП.

Если компания ведет журнал в бумажном варианте, и такой журнал предполагает внесение в него ПДн, то он должен быть надлежащим образом оформлен. В частности, Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» установлены специальные требования в отношении реквизитов такого рода документов.

Отметим, что данные требования касаются также и всех иных бумажных анкет, опросных листов и иных документов, которые заполняют работники и иные лица. В частности, например, на практике встречаются анкеты, в которых субъект ПДн подтверждает, что он не находился в странах с неблагоприятной обстановкой.

В завершение – позитивные новости. По информации, опубликованной на сайте Роскомнадзора[2], до 1 мая 2020 г. включительно деятельность регулятора по проведению плановых и внеплановых проверок приостанавливается, и надзорный орган переходит на механизмы систематического мониторинга в онлайн режиме. До этой даты также отменяются все запланированные профилактические мероприятия по всем направлениям контрольно-надзорной деятельности ведомства.

О чем подумать, что сделать

Рекомендуем компаниям провести проверку соблюдения требований российского законодательства о ПДн, в том числе в рамках мероприятий по предотвращению распространения коронавирусной инфекции:

  • оценить необходимость изменения бизнес-процессов компании в разрезе сбора и обработки ПДн о состоянии здоровья;
  • при необходимости, внести дополнения (изменения) в используемые формы анкет, журналов и иных документов;
  • обеспечить законные основания обработки ПДн, составляющих сведения о состоянии здоровья.

Помощь консультантов

Специалисты юридической компании «Пепеляев Групп» обладают большим опытом работы по вопросам соблюдения законодательства о ПДн и готовы оказать содействие в проверке соблюдения требований законодательства, в частности, тех, что перечислены выше.



[1]https://rkn.gov.ru/news/rsoc/news72206.htm?fbclid=IwAR2FFcBJFWixmlUkX9TtVictF6s0TjidDuYxwGY2cCz0ycEzWxB6wDyJaxo

[2] https://rkn.gov.ru/news/rsoc/news72386.htm

Положение об обработке персональных данных

Дополнительная информация

Положение об обработке персональных данных

  1. ОБЩИЕ ПОЛОЖЕНИЯ

    1. Настоящее Положение об обработке персональных данных (далее – Положение, настоящее Положение) разработано ООО "ЛАНИТ-Интеграция" (далее также – Оператор) и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
      Настоящее Положение определяет политику Оператора в отношении обработки персональных данных.
      Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
      Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
    2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными клиентов, физических лиц понимается любая информация, относящаяся к прямо или косвенно определённому или определяемому на основании такой информации клиенту, физическому лицу (далее – персональные данные).
    3. ООО "ЛАНИТ-Интеграция" является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.
    4. Целью обработки персональных данных является:
      • обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
      • оказание Оператором физическим и юридическим лицам услуг, связанных с хозяйственной деятельностью Оператора, включая контакты Оператора с такими лицами, в том числе по электронной почте, по телефону, по адресу, предоставленным соответствующим лицом;
      • направление консультаций, ответов обратившимся лицам с помощью средств связи и указанных ими контрактных данных;
      • продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается только при условии предварительного согласия субъекта персональных данных).
    5. Обработка организована Оператором на принципах:
      • законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
      • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
      • обработки только персональных данных, которые отвечают целям их обработки;
      • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
      • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
      • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
      • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
    6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.
    7. Персональные данные обрабатываются с использованием и без использования средств автоматизации.
    8. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных.
      1. Ответственный за организацию обработки персональных данных получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.
      2. Ответственный за организацию обработки персональных данных вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
    10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
    11. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
    12. Условия обработки персональных данных Оператором. Обработка персональных данных допускается в следующих случаях:
      • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
      • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
      • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
      • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
      • обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
      • обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
      • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
      • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
    13. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
    14. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
    15. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
  2. ОБЕСПЕЧЕНИЕ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
    2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту расположения Оператора в рабочее время Оператора.
    4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
    5. В случае представления интересов субъекта персональных данных представителем полномочия представителя подтверждаются доверенностью, оформленной в установленном порядке.
    6. В случаях предоставления субъектом персональных данных письменного согласия на использование персональных данных для такого согласия достаточно простой письменной формы.
    7. Оператор гарантирует безопасность и конфиденциальность используемых персональных данных.
    8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
  3. ПОЛУЧЕНИЯ, ОБРАБОТКА, ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. У Оператора устанавливается следующий порядок получения персональных данных:
      1. При обращении за получением услуг Оператора клиент указывает установленные соответствующими формами данные.
      2. Оператор не получает и не обрабатывает персональные данные клиента о его расовой принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, если законом не предусмотрено иное.
      3. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
    2. В случае принятия клиентом оферты, размещённой на сайте Оператора, либо заключения другого договора с Оператором обработка персональных данных клиента осуществляется для исполнения соответствующего договора, вступившего в силу вследствие принятия условий оферты клиентом либо заключения другого договора соответственно.
    3. Также Оператор вправе обрабатывать персональные данные клиентов, обратившихся к Оператору физических лиц только с их согласия на использование персональных данных.
    4. Согласие клиента на обработку персональных данных не требуется в следующих случаях:
      • персональные данные являются общедоступными;
      • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
      • по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом;
      • обработка персональных данных в целях исполнения договора, заключённого с Оператором;
      • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
      • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
    5. Оператор обеспечивает безопасное хранение персональных данных, в том числе:
      1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Оператора.
      2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Персональные данные передаются с соблюдением следующих требований:
      • запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами;
      • не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
      • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
      • разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
      • не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору с Оператором;
      • передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

    1. Право доступа к персональным данным имеют:
      • руководитель Оператора;
      • работающие с определённым клиентом работники Оператора;
      • работники бухгалтерии;
      • работники, осуществляющие техническое обеспечение деятельности Оператора.
    2. Клиенты в целях обеспечения защиты персональных данных имеют следующие права:
      • на полную информацию об их персональных данных и обработке этих данных;
      • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
      • на определение своих представителей для защиты своих персональных данных;
      • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения руководителя.
  6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
    2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

Первый, но не последний всеобъемлющий законопроект США о конфиденциальности от 2021 года

На прошлой неделе Закон о прозрачности информации и контроле личных данных стал первым всеобъемлющим законодательством о конфиденциальности, внесенным на 117-м Конгрессе США. Его спонсор - член палаты представителей Сьюзан ДельБене, D-Wash. Законопроект появился менее чем через две недели после того, как Вирджиния стала вторым штатом после Калифорнии, принявшим всеобъемлющий закон о конфиденциальности.

Реквизиты

Вообще говоря, предложенный федеральный закон обеспечит защиту обработки конфиденциальной личной информации.Между тем, для сбора, обработки и обмена неконфиденциальной информацией компании должны будут разрешить потребителям отказаться от нее в любое время.

В частности, он предоставит Федеральной торговой комиссии дополнительные полномочия по разработке правил для разработки требований к организациям, которые собирают, передают, хранят, обрабатывают, продают, делятся или иным образом используют конфиденциальную личную информацию представителей общественности. Эти требования будут включать получение «утвердительного, явного и добровольного согласия» на запросы, связанные со сбором, продажей, совместным использованием или другим раскрытием конфиденциальной личной информации.Контроллеры также будут нести ответственность за информирование обработчиков или третьих сторон о целях и ограничениях предоставленного согласия, но не будут нести ответственности за несоблюдение обработчиками этих ограничений.

«Конфиденциальная личная информация» определяется в счете как номера финансовых счетов и учетные данные для аутентификации, такие как имена пользователей и пароли; информация о состоянии здоровья; генетические данные; любая информация, касающаяся детей младше 13 лет; Номера социального страхования и любые «уникальные идентификаторы, выданные государством»; точная геолокационная информация; содержание устных или электронных сообщений, таких как электронная почта или прямой обмен сообщениями; записи личных звонков; биометрические данные; сексуальная ориентация, гендерная идентичность или статус интерсексуала; гражданство или иммиграционный статус; диагнозы психического или физического здоровья, религиозные убеждения; и история просмотра веб-страниц и история использования приложений.

Деидентифицированная информация, общедоступная информация и данные сотрудников не подпадают под определение «конфиденциальная личная информация». Письменное или устное общение между контролером и пользователем для транзакции, касающейся предоставления или получения продукта или услуги, также не будет считаться конфиденциальными данными.

Исполнение

Законопроект предоставляет правоохранительные полномочия как Федеральной торговой комиссии, так и генеральным прокурорам штата. Примечательно, что это не включает частное право на иск.

Чтобы укрепить ресурсы FTC для выполнения своего мандата, законопроект потребует найма 500 новых сотрудников FTC, 50 из которых должны обладать «технологическим опытом». Он также разрешит выделить 350 миллионов долларов в Федеральную торговую комиссию для обеспечения конфиденциальности и безопасности данных.

Если Федеральная торговая комиссия не предпримет никаких действий в течение 60-дневного периода с момента обнаружения нарушения или получения уведомления о нем, законопроект позволит любому генеральному прокурору штата подать иск от имени жителей штата в США.С. районный суд. И Федеральная торговая комиссия, и генеральные прокуроры штата должны будут уведомить контролера о предполагаемом нарушении (нарушениях) и дать им 30 дней на «исправление» непреднамеренных нарушений, прежде чем приступить к принудительным действиям.

Дополнительные положения

Еще одно ключевое положение законопроекта - требование «простого английского» для политик конфиденциальности. В частности, закон требует, чтобы компании поддерживали политику конфиденциальности, безопасности и использования данных, которая была «краткой, понятной и использовала простой язык».Они должны соответствовать руководящим принципам Федеральной торговой комиссии по «четкому и заметному» раскрытию, «использовать [] визуализации, где это необходимо, чтобы сделать сложную информацию понятной для обычного пользователя», и предоставляться бесплатно.

Не реже одного раза в два года регулируемым организациям, обрабатывающим конфиденциальные данные, также необходимо будет получить и опубликовать результаты «аудита конфиденциальности» от «квалифицированной, объективной, независимой третьей стороны». Малые предприятия, определяемые как те, которые собирают, хранят, обрабатывают, продают, делятся или иным образом используют конфиденциальную личную информацию 250 000 человек или меньше в год, будут освобождены от требования аудита.

Аудит потребуется для выполнения нескольких задач, в том числе:

  1. Документирование «средств управления конфиденциальностью, безопасностью и использованием данных», реализованных и поддерживаемых контроллером, процессором или третьей стороной.
  2. Описание уместности таких средств контроля, учитывая «размер и сложность» регулируемого лица, «характер и объем» его деятельности, а также «характер конфиденциальной личной информации или поведенческих данных», которые он собирает.
  3. Подтверждение того, что эти средства контроля «работают с достаточной эффективностью, чтобы обеспечить разумную уверенность» в том, что они защищают конфиденциальность и безопасность конфиденциальной личной информации или поведенческих данных.

Примечательно, что в законопроекте отсутствуют положения, предоставляющие пользователям права доступа, исправления или удаления. Такие права включены в Общий регламент ЕС по защите данных, Закон Калифорнии о конфиденциальности потребителей / Закон Калифорнии о правах на конфиденциальность и многие другие законы о конфиденциальности. Однако, возможно, наиболее значимым является включение в закон положения о преимущественном праве. По ее собственным словам, ДельБене сказала, что, по ее мнению, «гораздо лучше иметь федеральный закон, а не лоскутное одеяло законов с точки зрения потребителей, но также и с точки зрения малого бизнеса.Положение законопроекта о преимущественном праве аннулирует законы штата, «относящиеся к конфиденциальности данных или связанной с этим деятельности покрываемых организаций», но не затрагивает законы штата, касающиеся утечки данных, биометрии, прослушивания телефонных разговоров или публичных записей.

Подставка для векселя

DelBene также представила предыдущие версии законопроекта на 115-м Конгрессе (2017–2018 гг.) И 116-м Конгрессе (2019–2020 гг.). Эти два предложения привлекли, соответственно, двух и 34 соавторов, все из которых были демократами, но оба зашли в тупик после того, как были переданы в комитет палаты представителей по энергетике и торговле.

Текущий законопроект также получил поддержку 15 соавторов-демократов, хотя ДельБене сказал, что «есть большая возможность, чтобы он был двухпартийным». Vox's Recode аналогичным образом описал его как законопроект, который «может действительно понравиться республиканцам», поскольку он «более удобен для бизнеса, чем законопроекты других демократов», и на самом деле «скорее правый, чем левый». Действительно, многие положения законопроекта, похоже, «стремятся привлечь поддержку через проход».

Торговая палата поддержала это, написав письмо ДельБене, в котором приветствовала ее лидерство в ее представлении.В число других, выражающих поддержку, входят Инициатива сетевой рекламы, Национальная федерация розничной торговли, Коалиция за конфиденциальность на главной улице, NetChoice, Фонд информационных технологий и инноваций и BSA | Software Alliance, который также поддерживал предыдущие версии законопроекта. Подразделение Amazon Public Policy также опубликовало в Твиттере сообщение с благодарностью DelBene за «продвижение обсуждения федерального законодательства о конфиденциальности и признание важности инноваций».

Прогнозы

Принятие всеобъемлющего федерального закона о конфиденциальности остается предметом горячих споров и, вероятно, будет только расти.Хотя большинство наблюдателей за конфиденциальностью, кажется, полагают, что в конечном итоге это было бы «хорошо», все еще существует широкий спектр разногласий по поводу того, насколько вероятно, что кто-то станет реальностью. Прогнозы варьируются от «маловероятно» до «всего лишь вопрос времени». В любом случае важно признать различные силы, которые играют в этом процессе, включая не только принятие государственных законов о конфиденциальности, но и COVID-19, лоббирование, дипломатию США и международные соглашения. Конечно, только время покажет, какое влияние каждое из них окажет на перспективы и окончательную форму любого нового федерального закона о конфиденциальности.

Фото Сары Макклеллан на Unsplash

Как США должны защищать данные?

Ученые предлагают Конгрессу США способы реализации федеральной политики конфиденциальности данных.

Нужна ли в США федеральная политика конфиденциальности данных? Если да, то как бы он вообще выглядел?

Конгресс США обсуждает эти вопросы на протяжении десятилетий, но в последние годы проблемы с данными приобрели новую известность, так как Европейский Союз и несколько U.Южные штаты продолжают принимать законы о конфиденциальности. Законодательство о конфиденциальности данных регулирует сбор, хранение и передачу личной информации. Эти правила также могут давать людям некоторые права ограничивать использование своих данных.

Не далее как в феврале 2020 года Конгресс, похоже, приближался к соглашению о федеральной политике конфиденциальности данных.

Два основных законопроекта - один, предложенный сенатором-республиканцем, а другой - сенатором-демократом, имели «больше сходства, чем различий», поскольку две партии обсуждали эти вопросы.По мнению экспертов, эти два законопроекта «продемонстрировали многообещающее согласие по важным вопросам, включая минимизацию данных, индивидуальные права на неприкосновенность частной жизни, прозрачность и дискриминационное использование личных данных».

Однако законопроекты разошлись по вопросам замены законов штата о неприкосновенности частной жизни федеральным законом и предоставления гражданам права подавать иски за нарушение закона. По мере того как демократы и республиканцы переориентировали свои усилия на разработку предложений по защите конфиденциальности при отслеживании контактов COVID-19, вновь возникли те же подразделения.

Ввиду отсутствия единой федеральной политики несколько штатов США приняли собственные законы о конфиденциальности данных. Закон штата Калифорния о конфиденциальности потребителей (CCPA) позволяет отдельным лицам отказаться от сбора данных и дает людям возможность требовать от предприятий удаления некоторой сохраненной информации.

Вслед за Калифорнией Вирджиния недавно стала вторым штатом, принявшим политику конфиденциальности данных. Закон о защите данных потребителей отражает многие права, предоставляемые CCPA.

Хотя в Соединенных Штатах нет единой федеральной политики конфиденциальности данных, потребители все же имеют некоторую защиту в соответствии с федеральным законом.Федеральные законы защищают определенные типы личной информации. Закон о переносимости и подотчетности медицинского страхования (HIPAA) защищает личную медицинскую информацию, а Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) защищает записи об образовании учащихся.

Американские компании, работающие за границей, также могут подпадать под действие правил конфиденциальности иностранных данных, в том числе Общего регламента ЕС по защите данных (GDPR). Принятие GDPR в 2016 году стало образцом для ряда других стран, поскольку они разрабатывают собственное законодательство о конфиденциальности данных.

На субботнем семинаре на этой неделе рассматриваются предложения о том, что может включать в себя федеральная политика конфиденциальности данных и как Конгрессу следует разработать такой закон и нормативную базу.

  • Конгресс должен ввести в действие единый «базовый закон о защите данных» для решения проблем управления персональными данными, утверждает Нуала О’Коннор из Центра демократии и технологий в отчете Совета по международным отношениям. Она утверждает, что основополагающая структура защиты данных могла бы позволить компаниям лучше соблюдать правила защиты данных и разрешать конфликты между несовместимыми государственными и федеральными политиками.По словам О’Коннора, эффективная базовая система защиты данных будет нацелена на все учреждения, которые используют личную информацию, устранять несоответствия и пробелы в действующих правилах, включать стимулы, побуждающие компании предотвращать утечки данных, и предлагать средства правовой защиты для потребителей, которым угрожает конфиденциальность.
  • Закон и политика конфиденциальности потерпят неудачу, если не будет больше внимания уделять внедрению нормативных актов, утверждают Дэвид А. Хайман из Юридического центра Джорджтаунского университета и Уильям Э. Ковачич из Юридического факультета Университета Джорджа Вашингтона.В статье Fordham Intellectual Property, Media and Entertainment Law Journal они предлагают два решения для установления четкой границы полномочий для реализации федеральных правил конфиденциальности. Во-первых, Хайман и Ковачич утверждают, что Федеральная торговая комиссия должна иметь расширенные правоприменительные полномочия и возможность возглавить федеральные правила конфиденциальности, работая с другими агентствами, такими как Министерство юстиции США и Министерство торговли США. В качестве альтернативы Хайман и Ковачич предлагают создать новое агентство, которое будет выступать в роли «национального регулятора конфиденциальности» и возьмет на себя вопросы, связанные с конфиденциальностью, существующие федеральные агентства.
  • В недавнем отчете Кэмерон Ф. Керри, Джон Б. Моррис-младший, Кейтлин Т. Чин и Никол Э. Тернер Ли из Брукингского института предлагают несколько ключевых рекомендаций для всеобъемлющего федерального закона о конфиденциальности. Во-первых, Керри и его соавторы утверждают, что федеральный закон должен упредить или заменить противоречивые законы штата о конфиденциальности. Во-вторых, федеральный закон должен снизить порог для обращения за средствами правовой защиты, когда люди сталкиваются с нарушениями конфиденциальности. В-третьих, Керри и его команда рекомендуют «сузить определение« конфиденциальных данных »», которые компании не могут собирать без явного согласия.Наконец, авторы подчеркивают защиту прав людей «запрашивать доступ, исправление, удаление и переносимость личной информации».
  • Нил Чилсон из Института Чарльза Коха утверждает в статье Pepperdine Law Review , что федеральный закон о конфиденциальности должен быть сосредоточен на «индивидуальной системе правоприменения, в которой деятельность компании оценивается на основе результатов потребителя», а не на «подробном законодательстве и предписывающие обязательные методы обеспечения конфиденциальности ». Чилсон предупреждает, что ограничительное регулирование, требующее разрешения правительства на внедрение инноваций, сузит возможности компаний, нанося вред потребителям.Вместо этого он предлагает широкий «подход без разрешения», при котором правительство регулирует только результаты конфиденциальности и решает проблемы в каждом конкретном случае. По словам Чилсона, такой индивидуальный подход может адекватно исправить травмы потребителей, не ограничивая поток полезной информации.
  • Законодатели США должны принять теорию конфиденциальности, «основанную на ограничении корпоративной власти и защите уязвимых потребителей», - считают Вудро Хартцог из Северо-Восточного университета и Нил Ричардс из Вашингтонского университета.В статье Boston College Law Review Хартцог и Ричардс выступают против сводного федерального закона об управлении конфиденциальностью данных и вместо этого выступают за многоуровневый подход, охватывающий несколько пересекающихся областей. Они утверждают, что законодатели должны еще больше ограничить сбор данных и взвесить, добавив жесткие требования к удалению данных. Кроме того, Харцог и Ричардс выступают за использование корпоративного права в качестве инструмента регулирования, который мог бы обеспечить ответственность руководителей, нарушающих конфиденциальность, и создать установленную законом защиту для информаторов.
  • Любое федеральное законодательство о защите данных должно учитывать потребности в конфиденциальности всех людей в Соединенных Штатах, «не только элиты и промышленность», - утверждает Мишель Э. Гилман из юридического факультета Университета Балтимора в статье Arizona State Law Journal . Гилман пропагандирует GDPR Европейского союза как модель «как обеспечить конфиденциальность наших наиболее уязвимых сообществ» и отмечает, что Конгресс мог бы принять аналогичные положения для продвижения экономической справедливости. Например, GDPR включает «право на забвение», которое позволяет физическим лицам требовать удаления своих личных данных в случае их сбора.По словам Гилмана, версия этого права в Соединенных Штатах может также решить проблемы, связанные с судимостями, которые непропорционально влияют на цветных людей и могут оставаться в общедоступных базах данных даже после исключения.

Субботний семинар - это еженедельная функция, цель которой - представить в письменной форме тот контент, который будет передаваться на живом семинаре с участием экспертов по регулированию. Каждую неделю журнал The Regulatory Review публикует краткий обзор выбранной регуляторной темы, а затем содержит последние исследования и научные статьи по этой теме.

Введено первое федеральное законодательство о конфиденциальности от 2021 года

Если он получит поддержку и будет принят, закон заменит большинство законов штата о конфиденциальности, которые уже приняты.

За последние несколько лет мы наблюдали накопление государственных законопроектов, обещающих обеспечить конфиденциальность данных потребителей. Теперь федеральный закон, первый из 2021 года, но, конечно же, не последний, направлен на то же самое.

Член Конгресса США Сьюзан ДельБене, штат Вашингтон, в прошлом месяце вновь представила законопроект о прозрачности информации и контроле за личными данными.Этот законопроект представляет собой обновленную версию того, что DelBene представила ранее, один раз на 115-м Конгрессе в 2019 году и первоначально на 114-м Конгрессе в 2018 году.

Вслед за аналогичными законопроектами - этот был выпущен всего через две недели после того, как Вирджиния стала вторым штата, чтобы принять всеобъемлющий закон о конфиденциальности данных - DelBene's, похоже, усиливает потребность в всеобъемлющем федеральном стандарте.

Целью Закона о прозрачности информации и контроле за личными данными (.PDF) является обеспечение защиты личной информации и информации, принадлежащей детям в возрасте до 13 лет.

Этот закон возлагает бремя на Федеральную торговую комиссию (FTC) по наложению штрафов на нарушителей, а на прокуроров штата - на дальнейшее преследование.

Согласно законопроекту FTC будет отвечать за установление требований к организациям, которые собирают, передают, хранят, обрабатывают, продают, делятся или используют конфиденциальную личную информацию, принадлежащую общественности. Когда дело доходит до сбора данных, организации должны будут предоставить пользователям «утвердительное, явное согласие и согласие», например уведомление, информирующее их о том, когда их информация будет либо собрана, либо продана, либо передана.

Законопроект рассматривает конфиденциальную личную информацию, как информацию о финансовых счетах, информацию о здоровье, генетические данные, номера социального страхования, идентификаторы, выданные государством, имена пользователей и пароли, а также данные геолокации. Он также включает историю посещений веб-сайтов, биометрическую информацию, сексуальную ориентацию и религиозные убеждения.

Для того, чтобы оплатить счет, FTC придется нанять 50 новых штатных сотрудников, чтобы сосредоточиться на конфиденциальности и безопасности данных, 15 из которых должны иметь опыт работы в технологиях; 35000000 долларов также необходимо будет выделить "на решение вопросов, связанных с конфиденциальностью и безопасностью данных.

Спонсор законопроекта, ДелБене, отдает предпочтение федеральному закону, а не нескольким законам штата, что частично объясняет, почему она его ввела.

«Я понимаю, почему штаты продвигаются вперед в отсутствие действий федерального правительства, но Я думаю, что гораздо лучше иметь федеральный закон, чем лоскутное одеяло законов с точки зрения потребителя, но также и с точки зрения малого бизнеса », - сказал ДельБене Bloomberg в прошлом месяце. законопроект пойдет отсюда - предыдущие две итерации были представлены, но не получили особого успеха.Тем не менее, Торговая палата США одобрила внесение законопроекта DelBene, придав ему некоторое доверие.

«Пришло время Конгрессу принять национальный закон о конфиденциальности, который дает каждому американцу право контролировать свою конфиденциальность, независимо от того, где они живут, с четким набором правил для всех предприятий, независимо от того, где они работают», - Палата США В заявлении говорится: «Закон о прозрачности информации и контроле за личными данными является многообещающим первым шагом в объединении усилий потребителей, частного сектора и политиков для защиты конфиденциальной информации от злоумышленников."

Не удивительно, если в ближайшие месяцы будут представлены счета, аналогичные законам DelBene, особенно с учетом ряда ориентированных на штат законопроектов, подобных CDPA Вирджинии и CCPA Калифорнии, которые в наши дни вводятся каждые несколько недель.

Теги: undefined

Федеральное законодательство о конфиденциальности - это только начало для повышения безопасности данных

Поскольку китайские компании, такие как TikTok, получают доступ к рынкам США и все большему количеству данных об американских гражданах, многие наблюдатели утверждают, что федеральное законодательство о конфиденциальности стало императивом национальной безопасности.Тем не менее, озабоченность по поводу Китая и национальной безопасности - это лишь две из нескольких причин, по которым Соединенные Штаты приняли такое законодательство. Когда дело доходит до укрепления конфиденциальности, цифровой торговли и национальной безопасности США, важно понимать, что законодательство о конфиденциальности может и чего не может добиться само по себе, и почему необходимы дополнительные шаги.

Федеральный закон о конфиденциальности предоставит потребителям просроченную защиту и установит более последовательную основу для ответа правительства США на сложные вопросы об отношениях Америки с Китаем.Но такой закон - лишь первый шаг к укреплению безопасности США и устранению разногласий между Соединенными Штатами и другими странами - особенно европейскими союзниками Америки - в их подходах к управлению данными. Чтобы улучшить безопасность данных в США, сохранив при этом открытость, необходимую для инноваций и конкурентоспособности, администрации Байдена также необходимо будет уделить приоритетное внимание реформе ответственности за кибербезопасность, укрепив реакцию США на злонамеренную киберактивность и реформировав определенные процедуры наблюдения, чтобы учесть опасения американских союзников и торговцев. партнеры.

Конфиденциальность данных как проблема национальной безопасности

Два основных фактора заставили официальных лиц США рассматривать конфиденциальность данных как вопрос национальной безопасности: природа новых технологий, таких как искусственный интеллект, и обеспокоенность технологической политикой соперничающих держав, в первую очередь китайской партии-государства. Стратегические технологии, такие как искусственный интеллект, основаны на данных, которые используются при разработке алгоритмов, а ИИ и связанные с ним технологии являются инструментами с приложениями двойного назначения (гражданскими и военными).Эти технологии служат строительными блоками для приложений или других технологий конечного использования, основанных на них, поэтому контроль их использования оказывает влияние на широкий спектр инструментов и участников. Национальная экономика и оборонные учреждения все больше полагаются на эти стратегические технологии для выполнения важнейших функций. Взятые вместе, эти факторы неизбежно стирают границы между интересами экономики и национальной безопасности, а также между конфиденциальностью и безопасностью.

С выходом крупных китайских технологических компаний в США.Южный рынок, у американских политиков есть веские основания рассматривать эти технологические риски через призму, которая фокусируется на заявленных стратегических амбициях Пекина, его продолжающихся кампаниях глобального кибершпионажа и слабых юридических ограничениях на принудительную власть Коммунистической партии Китая над отечественными технологическими компаниями, среди прочего. факторы. Хотя распространенные представления о правовой и политической среде Китая могут быть преувеличены, вполне законно опасаться, что китайские компании могут стать средством, использующим относительно открытый U.S. среда данных для целей, которые угрожают национальной безопасности, коммерческим интересам или политическим ценностям, таким как права человека и демократическая целостность. Попытка принудительной продажи TikTok и попытка исключить Huawei из сетей 5G позволяют в реальном времени изучить конкретные примеры того, как Вашингтон в настоящее время формулирует эти вопросы и решает их.

Так же, как риски кибербезопасности, связанные с участием Huawei в создании сетей 5G, шире, чем сама компания, риски, связанные с компрометацией личной информации и других конфиденциальных данных, никоим образом не ограничиваются деятельностью китайских компаний.То, что штаб-квартира Equifax и Anthem находится в США, не помешало китайским хакерам украсть их данные. Актеры в России, Северной Корее и других странах участвовали в подобных подвигах. А американские компании обычно собирают и обмениваются данными пользователей гораздо шире, чем часто думают потребители. Таким образом, потребность в усилении защиты данных касается не только таких компаний, как TikTok, но и всех компаний, которые обрабатывают информацию о гражданах США, независимо от того, где они зарегистрированы.

Неудивительно, что растет двустороннее соглашение о необходимости федеральной системы защиты данных с четкими стандартами сбора, обработки и обмена личными данными. Помимо вышеупомянутых преимуществ защиты конфиденциальности пользователей и защиты конфиденциальной информации, единый национальный стандарт также снизил бы затраты компаний на соблюдение нормативных требований и предотвратил бы неэффективность, связанную с тем, что отдельные штаты США принимают разные стандарты.Действительно, в отсутствие федерального закона Европейский общий регламент по защите данных (GDPR) и Закон о конфиденциальности потребителей Калифорнии (CCPA) вместо этого стимулируют стандарты конфиденциальности для пользователей по всему миру.

Закон о национальной конфиденциальности также будет способствовать другим интересам США. Среди прочего, при наличии последовательного режима защиты данных, учитывающего принципы, а не национальности, отпадет необходимость прибегать к исключительным президентским полномочиям для одноразовых запретов или распоряжений о продаже активов в отношении отдельных китайских технологических компаний.Соединенные Штаты годами жаловались на то, что американские технологические платформы, такие как Google, Facebook, YouTube, Twitter и WhatsApp, запрещены в Китае. Давние аргументы против произвольного применения Китаем политики «национальной безопасности» с целью поставить в невыгодное положение американские компании подрываются представлением о том, что Соединенные Штаты подражают китайскому подходу в нацеливании на китайские платформы социальных сетей TikTok и WeChat. Федеральный режим защиты данных предоставит Соединенным Штатам более прочную основу для решения проблем, вызываемых китайскими компаниями, не подвергая Вашингтон обвинениям в лицемерии.

И там, где основанные на принципах законы о конфиденциальности и защите прав потребителей не учитывают конкретные риски, Комитет по иностранным инвестициям в Соединенных Штатах (CFIUS) может предоставить эффективный, адаптированный механизм для защиты национальной безопасности при одновременном восстановлении доверия к открытой экономической политике Соединенных Штатов. система.

Федерального закона о конфиденциальности недостаточно

Несмотря на преимущества, описанные выше, важно осознавать, что закон о конфиденциальности не может делать сам по себе и почему законодательство о конфиденциальности должно быть лишь одним из аспектов более широкого набора политик для обеспечения безопасности данных и технологической совместимости.

Начнем с того, что закон о конфиденциальности не будет достаточным для решения проблем кибербезопасности, связанных с защитой личных данных людей. Обязанности по защите таких данных не могут быть ограничены лицами, которые собирают, обрабатывают и передают их. Чтобы повысить безопасность данных в более широком смысле, Соединенным Штатам необходимо рационализировать свой режим ответственности за кибербезопасность. Например, в соответствии с рекомендациями Комиссии по киберпространству по солярию, новая администрация Байдена должна работать с Конгрессом над принятием закона, «устанавливающего, что сборщики конечных продуктов программного, аппаратного и микропрограммного обеспечения несут ответственность за ущерб в результате инцидентов, связанных с использованием известных и не исправленных уязвимостей.«Поставщики программного обеспечения должны нести ответственность за своевременную разработку и распространение исправлений. Компании должны быть заинтересованы в раскрытии цифровых уязвимостей и выполнении основных шагов, необходимых для обеспечения регулярного обновления своих систем. Эти обязанности по обеспечению осторожности могут сопровождаться требованиями к производителям Интернета вещей о сертификации безопасности систем, встроенных в их продукты, и разъяснении кибер-рисков для потребителей на протяжении жизненного цикла их продуктов.

Даже эти дополнительные меры могут не сработать до тех пор, пока выгоды от киберхищения интеллектуальной собственности и конфиденциальных данных продолжают значительно перевешивать предполагаемые затраты.Правительству США необходимо будет более творчески подходить к определению способов возложения на злонамеренных хакеров значительных затрат, выходящих за рамки простого «называния и позора». При правильной калибровке во избежание эскалации новая стратегия США по «защите вперед» для пресечения злонамеренной кибер-активности в их источнике должна и впредь быть частью этих усилий. Адресные и согласованные на многосторонней основе санкции - это еще один шаг, который Соединенные Штаты могли бы рассмотреть, наряду со стимулами к очевидным изменениям в поведении, например, к смягчению санкций.S. Тарифы в обмен на соблюдение Китаем норм справедливой передачи технологий.

Кроме того, закон о конфиденциальности не обязательно решит вопрос о том, как «локализовать» данные, которые не могут быть переданы в определенные страны из-за опасений по поводу отсутствия адекватной правовой защиты. Если предлагаемое партнерство по хостингу данных между TikTok и американской компанией-разработчиком программного обеспечения Oracle будет продвигаться вперед, каковы будут условия соглашения о хранении пользовательских данных из США в Соединенных Штатах? Станет ли эта структура планом на будущее? Будет ли он напоминать модели, используемые Apple, Microsoft и Amazon для хранения данных пользователей из материкового Китая в Китае через партнерские отношения с местными поставщиками облачных услуг, как того требует китайское законодательство? Если данные компаний зашифрованы, где будут храниться ключи шифрования и при каких обстоятельствах правоохранительные органы получат доступ? Наконец, если предположить, что будущий U.S. Режим конфиденциальности оставляет учреждениям гибкость в принятии технических решений для защиты данных, обеспечивая при этом продуктивные способы их совместного использования. Как могут выглядеть эти решения? Могут ли федеральные законы и нормативные акты предоставить достаточно четкие инструкции по разделению типов данных, требующих особой защиты, от данных, которые могут передаваться свободно?

Работа с союзниками по цифровой торговле

То, как Соединенные Штаты структурируют свой режим конфиденциальности и безопасности данных, имеет важное значение для того, как Вашингтон может наиболее эффективно сотрудничать с «единомышленниками» союзниками и партнерами в области цифровой торговли.В некоторых кругах есть надежда, что Соединенные Штаты при администрации Байдена возглавят альянс «технодемократий» для координации единого ответа на авторитарные нормы и практики. Однако такие предложения выглядят фантастически, если они не решают важных различий в том, как Соединенные Штаты, их союзники и партнеры подходят к вопросам управления технологиями.

Проблема трансграничных потоков данных между США и Европой иллюстрирует эту проблему.Общенациональный закон США о конфиденциальности может в некоторой степени уменьшить обеспокоенность европейских стран по поводу отсутствия в Соединенных Штатах всеобъемлющей системы управления данными. Но даже после принятия нового закона почти наверняка останутся вопросы о том, как устранить пробелы между законодательством США и ЕС о конфиденциальности. Вот почему.

ЕС-США. Privacy Shield был разработан, чтобы предоставить компаниям механизмы для передачи данных из Европейского Союза в США в соответствии с европейским GDPR.Суд ЕС (CJEU) недавно аннулировал Privacy Shield (во второй раз), создав неопределенность в отношении будущего облачных сервисов и трансатлантической передачи данных для широкого круга компаний. Основная причина решения CJEU не имеет ничего общего с отсутствием в США федерального закона о конфиденциальности. Вместо этого оно было основано на том факте, что в соответствии с законодательством США, касающимся государственного надзора в целях национальной безопасности, иностранным гражданам, находящимся за пределами Соединенных Штатов, не предоставляется такая же правовая защита и права на судебное возмещение, как у U.S. граждане и люди в Соединенных Штатах.

В решении CJEU есть немало противоречий. Государства-члены ЕС сохраняют за собой право определять, какой уровень конфиденциальности является «необходимым и соразмерным» в соответствии с законодательством ЕС в контексте наблюдения за национальной безопасностью, но CJEU взял на себя ответственность определить значение этих терминов применительно к правительству США. . Как написал Джошуа Мельцер: «Этот диссонанс между тем, что ЕС ожидает от других правительств, и тем, что он может попросить от своих стран-членов, усугубляется различными выводами о том, что данные ЕС могут быть более безопасными и с соблюдением надлежащей правовой процедуры, когда они находятся в U.С., чем в ЕС ». В своей книге « Cyber ​​Privacy » Эйприл Фэлкон Досс отмечает то же самое: «Само использование [данных], которое вызывает наибольшую озабоченность в Соединенных Штатах - и которое заставило ЕС жестко критиковать США, - не являются регулируется законодательством ЕС в отношении своих стран-членов. Если право на неприкосновенность частной жизни действительно является фундаментальным правом человека, то тот факт, что законодательство Европейского Союза не предусматривает защиты от злоупотреблений со стороны его собственных разведывательных и правоохранительных органов, кажется серьезным упущением.”

Эта убедительная критика подхода ЕС не меняет того факта, что вынесенное CJEU решение создает проблемы для цифровой торговли, над преодолением которых теперь должны работать политики США и ЕС. Независимо от того, примет ли Соединенные Штаты национальный закон о конфиденциальности, Вашингтону и Брюсселю необходимо будет согласовать решение по воссозданию или замене Privacy Shield на более прочную основу. Внимательное прочтение решения CJEU предполагает, что, возможно, этого можно было бы достичь через У.S. реформы, чтобы ввести более состязательные, «похожие на трибуналы» процессы в деятельность ЕС и США. Омбудсмен по программе Privacy Shield, организация, базирующаяся в Государственном департаменте, которая рассматривает и отвечает на индивидуальные жалобы, касающиеся предполагаемой слежки в США. Возможно, недавнее опубликование администрацией Трампа процедур федерального агентства по целевому сбору и минимизации данных в соответствии с Законом о слежении за внешней разведкой (FISA) даст некоторое подтверждение иностранной аудитории в отношении степени «соразмерности», предоставляемой лицам, не являющимся гражданами США.С. Лица, подлежащие наблюдению. В соответствии с Директивой президента № 28, изданной в 2014 г., «США деятельность радиотехнической разведки должна. . . включать соответствующие меры защиты личной информации всех лиц, независимо от гражданства лица, которому принадлежит эта информация, или места его проживания ».

Какие бы заблуждения ни существовали среди европейских юристов относительно того, разрешает ли FISA агентствам США заниматься «массовым сбором» данных об иностранных лицах, необходимость реформы FISA стала очевидной после недавних отчетов U.Генеральный инспектор Министерства юстиции США ссылается на слабые места в процессе FISA. Если администрация Байдена сможет работать внутри страны и с Конгрессом над улучшением процедурных проверок правительственного наблюдения, это потенциально может повысить доверие общественности внутри страны без ущерба для безопасности США, а также может изменить контекст для трансатлантических дискуссий о потоках данных. Эти обсуждения, в свою очередь, могут заложить основу для более широкой и прочной структуры цифровой торговли, основанной на U.Соглашение между Южной и Мексикой и Канадой и Соглашение между США и Японией о цифровой торговле. Такое многостороннее соглашение могло бы принести пользу американским рабочим и инновационной базе, одновременно создавая долгосрочные стимулы для таких стран, как Китай, для улучшения своих внутренних правовых режимов и приведения их в соответствие с глобальными нормами.

Короче говоря, Соединенные Штаты получат множество преимуществ от принятия разумного федерального законодательства о конфиденциальности. Но в мире, где конфиденциальность данных, цифровая торговля и национальная безопасность все больше переплетаются, повестка дня следующей администрации в области управления данными не может останавливаться на достигнутом.

Роберт Уильямс - исполнительный директор Китайского центра Пола Цая, старший научный сотрудник и преподаватель Йельской школы права. Он также является старшим научным сотрудником Брукингского института, не проживающим в стране.

Amazon, Apple, Facebook, Google, Microsoft и Twitter предоставляют финансовую поддержку Brookings Institution, некоммерческой организации, занимающейся тщательными, независимыми и глубокими исследованиями государственной политики.

Защита конфиденциальности личных данных | Генеральная Ассамблея Колорадо

Закон создает права на конфиденциальность личных данных и:

  • Применяется к юридическим лицам, которые ведут бизнес или производят коммерческие продукты или услуги, которые преднамеренно нацелены на жителей Колорадо и которые либо:
  • Контролировать или обрабатывать персональные данные не менее 100 000 потребителей в течение календарного года; или
  • Получать доход от продажи персональных данных и контролировать или обрабатывать персональные данные не менее 25 000 потребителей; и
  • Не применяется к определенным указанным организациям, включая органы власти штата и местного самоуправления и высшие учебные заведения штата, персональные данные, регулируемые перечисленными законами штата и федеральными законами, перечисленные виды деятельности и записи о занятости.


Закон определяет «контролера» как лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. «Обработчик» означает лицо, которое обрабатывает персональные данные от имени контролера. Потребители имеют право отказаться от обработки их персональных данных контролером; доступ, исправление или удаление данных; или получить от контроллера переносную копию данных.

Закон:

  • Определяет, как контролеры должны выполнять обязанности в отношении отстаивания потребителями своих прав, прозрачности, определения цели, минимизации данных, предотвращения вторичного использования, ухода, предотвращения незаконной дискриминации и конфиденциальных данных;
  • Требует, чтобы контролеры проводили оценку защиты данных для каждого из своих действий по обработке, связанных с персональными данными, которые представляют повышенный риск причинения вреда потребителям, например, для обработки в целях целевой рекламы, профилирования, продажи персональных данных или обработки конфиденциальных данных; а также
  • Указывает, что нарушение его требований является мошеннической торговой практикой для целей принудительного исполнения, но этот акт может быть исполнен только генеральным прокурором или окружными прокурорами.


Органы местного самоуправления не могут принимать законы, регулирующие обработку персональных данных контроллерами или обработчиками. Генеральный прокурор может обнародовать правила управления актом и должен принять правила, детализирующие технические спецификации для универсального механизма отказа, который должны использовать контролеры.

(Примечание. Данное краткое описание относится к данному законопроекту в том виде, в каком он был принят.)

Влияние COVID-19 на конфиденциальность, защиту и безопасность данных

В Episerver мы по-прежнему сосредоточены на предоставлении ведущей в отрасли ориентированной на клиента платформы Digital Experience Platform (DXP).Мы были подготовлены и протестированы против серьезных разрушительных инцидентов, включая пандемии. Благодаря тому, что у нас есть клиенты и партнеры в широком спектре отраслей и сфер деятельности, мы хотим поделиться некоторыми соображениями, с которыми наша глобальная семья клиентов, партнеров и ассоциаций сталкивается в реальности пандемии COVID-19.

Имея это в виду, мы хотим проявить инициативу и поделиться некоторыми часто задаваемыми вопросами по темам конфиденциальности, защиты данных, безопасности и соответствия, включая те, которые связаны с:

  • Конфиденциальность и личная информация соображения, в том числе о том, что делать организациям, собирающим информацию, которая может быть полезна для сокращения распространения COVID-19
  • Защита данных и кибербезопасность соображения

Обратите внимание: это комментарий Episerver, сделанный отдельным участником, и ничто в этой статье не является юридическим советом или советом любого рода.

Вопросы конфиденциальности и личной информации

Что делать, если наша политика конфиденциальности описывает типы собираемой личной информации и ее предполагаемое использование, но нам необходимо предоставить личную информацию («PII») в ответ на COVID-19 (например, правительственные и / или медицинские учреждения) наших клиентов, гости или пользователи сайта?

В то время как некоторые политики конфиденциальности могут уже касаться тех типов PII, которые государственные учреждения заинтересованы в сборе в экстремальных обстоятельствах (например, желая остановить распространение COVID-19), многие этого не делают.Те, которые имеют, могут служить примером для тех, кто в настоящее время не владеет таким языком. Мы в Episerver находим яркие примеры того, что этот язык используется нашими клиентами в сфере путешествий, авиакомпаний, отелей, автосервисов, страховых компаний и других компаний, предлагающих программы лояльности. Эти политики конфиденциальности (иногда распространяемые посредством уведомлений о рекламных продуктах на основе интересов, используемых на сайте) обычно включают формулировки, описывающие отслеживание времени и местоположения покупок, отслеживание перемещений / переходов людей с помощью данных геолокации из файлов cookie, пикселей или приложений.В качестве метода «услуга за услугу» согласие на эту информацию обычно получается или предоставляется в обмен на получение скидок или льгот на будущие продукты и услуги. Однако, даже используя этот язык, они, как правило, все еще не рассматривают возможное использование PII в целях общественного здравоохранения.

Мы предлагаем компаниям и организациям ознакомиться с существующими политиками конфиденциальности (и определенно с внешними политиками), чтобы гарантировать, что эти политики охватывают раскрытие PII государственным органам в запрошенных чрезвычайных целях, включая общественное здравоохранение.

Политика конфиденциальности

, соответствующая отраслевым стандартам, должна предусматривать, что PII может быть передана для защиты здоровья или безопасности человека / субъекта данных или в ответ на действующий судебный процесс / решение или законное обязательство. Мы также считаем, что наши клиенты и партнеры также захотят рассмотреть возможность использования собранных PII для неожиданных / исключительных целей, не предусмотренных политикой конфиденциальности, и внести изменения в свои политики конфиденциальности, как указано выше. Имейте в виду, что при этом вы также должны информировать своих сотрудников и партнеров по маркетингу (и соответствующие ресурсы) об изменении, пересматривать процедуры внутреннего аудита и эскалации, а также четко формулировать свой процесс и процедуру того, как происходит раскрытие информации, чтобы по каким стандартам будет принято решение обнародовать такие данные, как будет осуществляться этот выпуск и какие шаги после выпуска будут предприняты.

Мы считаем, что еще один момент, который следует учитывать, заключается в том, что клиенты и партнеры должны проконсультироваться относительно того, вызывает ли исключительное раскрытие / использование PII изменение продукта, услуги или роли организации в соответствии с применимым законом о защите данных (например, как «Поставщик услуг» Закона Калифорнии о защите прав потребителей (CCPA)).

Что делать, если организация хочет собирать PII для более широких интересов, включая государственные СМИ, правительственные учреждения или ассоциации, в ответ на COVID-19 (e.грамм. сотрудника, гостя или клиента, путешествующих или геолокации), и подумайте, прежде чем собирать, использовать или передавать этот тип информации?

В первую очередь необходимо убедиться, что 1) такое использование является законным в соответствии с применимыми законами о защите данных и 2) изучите свою политику конфиденциальности и уведомления о согласии, чтобы определить их достаточность в отношении PII, которую организация намеревается собирать, и того, как она намеревается делиться. и используйте эту PII. Лучшие практики GDPR уже подразумевают использование как минимум внутренних и внешних политик конфиденциальности, поэтому имейте в виду, что для проверки может потребоваться несколько политик, и это может меняться в зависимости от юрисдикции.

Очевидно, что если политики не разрешают такое использование данных, организация должна обновить все применимые политики конфиденциальности до сбора PII и распространить новую и / или дополнительную политику конфиденциальности и / или уведомление во время согласия и сбора покрывают любые новые личные данные, которые компания намеревается собрать, особенно если они относятся к COVID-19.

Какую информацию может раскрыть организация, если у сотрудников или клиентов положительный результат теста на COVID-19?

При обнаружении положительного результата теста сотрудника или клиента на COVID-19, информация, раскрываемая на законных основаниях, зависит от предполагаемого получателя.Например, если это делается по запросу федерального правительства, правительства штата или местного самоуправления и / или его агентств, местные законы или недавно принятые законы могут требовать, чтобы организация предоставляла информацию в ответ на запрос правительства.

Скажем, это не государственная организация, а люди, входящие в сеть организаций, например, информирование ваших собственных сотрудников или клиентов о другом сотруднике или клиенте, у которого был положительный результат теста, Episerver считает, что обмен минимально необходимой PII позволяет другим в рамках взаимосвязи быть обучены и оценивают свой личный риск и воздействие на здоровье.Исходя из этого, минимальная необходимая PII будет варьироваться в зависимости от контекста и, вероятно, будет нуждаться в изменении в зависимости от обстоятельств. Масштаб организации и взаимосвязь будут играть роль в оценке (то есть, сколько людей в целом и сколько из них дали положительный результат), а также от того, является ли это сотрудник или клиент, вероятность контакта с другими и какое географическое положение. -Местоположение, в котором они базируются.

По возможности не сообщайте PII, в частности имя человека.Однако это беспрецедентные времена, а это означает, что этого может быть неизбежно, учитывая уникальные и новые сценарии, которые могут возникнуть. Episerver, как и другие компании, подготовил пути эскалации и четкие линии утверждения для ответов на вопросы о раскрытии информации, подробности, которые должны быть опубликованы (если таковые имеются), и процессы раскрытия, определенные для минимизации воздействия на индивидуальные права на конфиденциальность.

Что необходимо учитывать с точки зрения конфиденциальности данных при выполнении требований правительства или агентства о предоставлении информации о сотрудниках или клиентах на основе ответа на COVID-19 с таким запросом?

Конфиденциальность данных физического лица, особенно когда это сотрудник или клиент, должна как минимум включать следующие соображения:

Откуда и о ком идет запрос?

Организации должны, если еще не были, хорошо разбираться в законах о конфиденциальности и защите данных, которые применимы к ним в соответствии с федеральными, государственными и международными законами о защите данных.Если организация существует в нескольких регионах, им необходимо понимать, какие законы и нормативные акты применимы и какие лица подпадают под действие этих законов, которые сильно различаются в зависимости от региона и штата. Данные и информация, которые могут быть переданы в одном месте / юрисдикции, могут быть запрещены в другом (или могут подпадать под более строгие правила). Понимание юридических требований и оснований является ключевым моментом, поэтому организации должны проявлять осторожность (предпочитая отказываться) в отношении запроса о предоставлении PII правительствам и его агентствам, если это делается неформально и / или где объем слишком широк.Если организация решает отправить запрос на получение PII (что следует делать только при наличии юридического обязательства), всегда следует использовать продуманный ответ, который минимизирует риск и раскрытые данные. Хотя запрашиваемая информация может иметь отношение к борьбе с распространением COVID-19 (например, данные о геолокации и поездках, личные контакты и т. Д.), Такие данные, если не будут предоставлены надлежащим образом, могут использоваться правительствами и агентствами. для других целей.

Юридические вопросы Действительный процесс / юридические обязательства

Если правительственный запрос исходит из правовой основы, закрепленной в законе или нормативном акте, то как и какие данные и / или информация, подлежащие раскрытию, должно быть легче различить.Имейте в виду, что даже в соответствии с законом, что объем раскрытия PII является приемлемым, организации всегда должны сокращать раскрытие информации (чтобы снизить риск и вред для сотрудников или клиентов) только до того, что необходимо. Прежде чем предоставлять PII, всегда запрашивайте правовую основу и процедуру, на которой основан запрос правительства, включая приказ, ордер или повестку в суд.

Репутация / бренд / связи с общественностью

Наконец, независимо от того, соблюдает ли организация требования или нет, следует помнить об аспектах репутации и связей с общественностью.Если организация считается сложной для работы там, где правительство предпринимает шаги специально для того, чтобы остановить распространение COVID-19, может возникнуть негативная реакция общественности, основанная на восприятии отказа от сотрудничества и огорчении в отношении попытки остановить распространение COVID-19. . С другой стороны, особенно в тех случаях, когда бренды и репутация организаций включают защиту конфиденциальности, открытое сотрудничество может рассматриваться как противоречащее этому обмену сообщениями, не требуя правовой основы и процесса перед соблюдением требований, и в конечном итоге приводит к потере ценности бренда и доверять.

Нужно ли уведомлять физических лиц, если PII раскрывается правительству и / или агентству в связи с COVID-19?

В США организация, раскрывающая PII правительственному учреждению, имеет юридическое обязательство информировать затронутых лиц о том, что их информация была передана государственному учреждению в ограниченном числе обстоятельств, например, если лицо подлежит CCPA. В обстоятельствах, когда лицо подпадало под действие закона CCPA и не было никаких исключений (например, было связано с HIPAA и / или деловым партнером), организация должна была бы предоставить жителю Калифорнии подробную информацию о категориях раскрытой PII, и категории третьих лиц, которым была предоставлена ​​информация (включая правительство (а) и агентства).

В ЕС организация должна взвесить множество возможных правовых оснований и соображений, включая местные действия по свободе информации (FOIA) и, конечно же, общие правила защиты данных (GDPR). Организации должны учитывать законный общественный интерес в раскрытии информации и уравновешивать это с правами сотрудников и / или клиентов. Согласно FOIA существует общая социальная потребность в прозрачности политики, решений и действий государственных органов.

Даже если у организации может быть только юридическое обязательство информировать отдельных лиц о том, что она предоставила PII в ограниченном объеме и в рамках строго охраняемого механизма раскрытия информации с правительством и / или агентствами, необходимо принять во внимание, и в политике следует четко сформулировать, что организация будет делать в этих обстоятельствах.Несмотря на то, что COVID-19 уникален по своей глобальной угрозе и ответным действиям, в политике следует четко сформулировать соображения по связям с общественностью, деловую репутацию и типы раскрываемых PII, чтобы решимость информировать была однозначной.

Соображения по защите данных и кибербезопасности

При том, что большинство сотрудников работает из дома, где организация может поддержать это, есть ли повышенные проблемы или риски кибербезопасности?

Короткий ответ - «да». Длинный ответ: «Да, их много.«Однако при тщательном планировании, процессах, тестировании, аудите и соблюдении лучших в отрасли политик в области информационных технологий (ИТ) многие организации смогут снизить основные известные риски и проблемы. В Episerver, благодаря нашему процессу сертификации ISO-27001, ежегодному тестированию на соответствие нашему плану обеспечения непрерывности бизнеса (BCP), процессам аварийного восстановления и управления инцидентами (и это лишь некоторые из них), мы хорошо разбираемся в планировании удаленной работы сотрудников и их рабочих способностях. быть нарушенным, и планирование на случай непредвиденных обстоятельств для многих форс-мажорных обстоятельств.

Новости и средства массовой информации выявили многие стандартные проблемы, возникающие в настоящее время с COVID-19 с сотрудниками, которые работают удаленно, в том числе опыт решения проблем с пропускной способностью интернета, возросшая миграция данных организации на личные устройства, хакеры, использующие COVID-19 ситуации и большей уязвимости из-за включения новых или неопытных удаленно работающих сотрудников. Вот пара общих соображений, которые Episerver постоянно отслеживает и проверяет.

Поддержка инфраструктуры

Организации должны протестировать (включая нагрузочное тестирование) возможность удаленного подключения, будь то VPN, интерфейсы инфраструктуры виртуальных рабочих столов (VDI) или другая удаленная инфраструктура, чтобы убедиться, что они могут поддерживать ожидаемое увеличение удаленного доступа, особенно если объекты частично или полностью закрыты. (включая случаи, когда сеть / питание / физический доступ отключены). Убедитесь, что сотрудники имеют доступ, необходимый для выполнения своей работы, без увеличения подверженности или риска для данных и инфраструктуры.Другие технические меры безопасности, такие как многофакторная аутентификация, сертификаты безопасности, установленные на рабочих и личных устройствах, используемых для работы (а также возможности удаленного удаления данных), также могут быть подходящими.

Кроме того, критически важно обеспечить внедрение в организациях оперативных, постоянных и актуальных исправлений безопасности для компонентов и устройств удаленного доступа.

Требования и политика

Политики удаленного доступа организации должны четко отражать требования и ожидания, включая краткое изложение угроз, о которых сотрудники должны знать, какие типы устройств и как они должны быть настроены, а также политику допустимого использования организации.Дисциплинарные меры, принимаемые в случае нарушения политики, должны быть четкими и обязательными. Данные организации, допустимые на личных устройствах, и какие устройства - одна из наиболее важных политик, которую следует сформулировать в этом плане. Политики должны постоянно проверяться, и напоминания сотрудникам являются ключевыми, особенно при объявлении указа «работать из дома» или о закрытии предприятия. В политике также должны быть сформулированы правила гигиены безопасности, которым сотрудники следуют при удаленной работе, в том числе недопущение смешивания организационных и личных данных и постоянное использование VPN, особенно при доступе к небезопасной сети (например, общедоступной сети Wi-Fi).

Обучение сотрудников

Компаниям следует уделять особое внимание новым сотрудникам или тем сотрудникам, которые традиционно не имеют или имеют ограниченный опыт удаленной работы. По умолчанию следует исходить из предположения, что сотрудники, не прошедшие специального обучения, недостаточно понимают меры безопасности, необходимые для безопасной удаленной работы, поэтому обучение по этим темам имеет решающее значение. Информационные сообщения о безопасности, неоднократно подчеркивающие текущие политики безопасности удаленной работы, также должны выполняться через регулярные промежутки времени.

Хотя распространено предположение, что сотрудники будут осведомлены об общественной озабоченности работой из дома, организациям следует информировать сотрудников о рисках подключения к небезопасным сетям в общественных местах (общедоступный Wi-Fi в кафе, аэропортах, даже при спонсорской поддержке города / штата " бесплатный вай-фай").

Аудит

Организации, имеющие сертификаты, такие как сертификация Episerver ISO-27001, будут хорошо разбираться в политиках и процедурах аудита, в том числе в отношении BCP и удаленного доступа.Тем организациям, которые не имеют такой официальной сертификации, следует рассмотреть возможность принятия аналогичных практик и обеспечить регулярное проведение аудитов в соответствии с политиками и регулярных проверок работоспособности для выявления потенциальных рисков. Ведение журнала того, что доступно, - это одно, а проверка этих журналов и понимание того, что они говорят, - другое.

COVID-19 открыл двери для хакеров, использующих текущие обстоятельства в гнусных целях - что можно сделать, чтобы подготовить сотрудников и других лиц к выявлению этих уникальных угроз кибербезопасности и их предотвращению?

Если организация еще не сделала этого, она должна немедленно отправить напоминание о безопасности всем сотрудникам и другим соответствующим лицам, чтобы они были бдительны в отношении потенциальных кибер-мошенников, фишинга и атак:

  1. Использование только надежных источников, таких как правительственные сайты или веб-сайты организаций здравоохранения, для получения актуальной, основанной на фактах информации о COVID-19
  2. Не предоставлять личную или финансовую информацию о безопасности при ответе на онлайн-общение
  3. Отсутствие нажатия на ссылки или открытие вложений, содержащихся в нежелательных, подозрительных или нестандартных сообщениях электронной почты

Сотрудники - люди, а новости и СМИ полны историй о тех, кто подвержен целенаправленному фишингу, мошенничеству и другой киберпреступной деятельности, основанной исключительно на попытках получить информацию о COVID-19 или интересах и опасениях, связанных с пандемией.Хотя тема COVID-19 может быть новой, методы и сообщения, используемые для побуждения людей переходить по вредоносным ссылкам, часто остаются аналогичными другим видам мошенничества, которые постоянно и постоянно распространяются в Интернете. Используйте интерес и пыл к COVID-19 как еще один фактор повышения осведомленности о безопасности, предупреждая сотрудников или других лиц об этих рисках .

Как указывалось ранее, обучение и образование являются ключевыми. Обучение, как это делает Episerver, тому, как обнаруживать эти злонамеренные действия, проведение моделирования с помощью поддельного фишингового электронного письма, связанного с актуальными элементами, будет держать сотрудников и других лиц вооруженными с правильным мышлением и заботиться о безопасности.Используйте результаты обучения - и, возможно, результаты моделирования - для мотивации сотрудников, которые не прошли обучение или стали жертвами смоделированного фишинга.

Еще один способ, которым организации могут гарантировать, что сотрудники и другие лица получают точную информацию о COVID-19 и не подвергаются рискам безопасности в более широком Интернете, - это предоставлять постоянные обновления COVID-19. Episerver регулярно общается с сотрудниками и другими лицами через электронную почту, телеконференции и внутренний ресурсный центр на сайте внутренней сети Episerver, который сопоставляет текущую и точную информацию как внутри, так и извне.

Наконец, важно отметить, что это касается не только новостей и СМИ - Агентство кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США четко определяет эту конкретную угрозу, при которой злоумышленники используют предлог COVID-19. для отправки электронных писем. Они используют социальные сети с вложениями или ссылками на вредоносные веб-сайты, чтобы обманом заставить жертв загрузить вредоносное / шпионское ПО и заставить их предоставить конфиденциальную организационную или личную информацию.Часто такие ситуации приводят к финансовому мошенничеству посредством пожертвований и пожертвований несуществующим благотворительным организациям.

Есть ли другие дополнительные проблемы или риски кибербезопасности, которые представляет COVID-19?

COVID-19 убедил общественность в том, что перевод персонала из офиса в более удаленный режим, скорее всего, будет более постоянным, чем временным. Одна из часто возникающих проблем - это увеличение количества ложных срабатываний в предупреждениях о вторжении / рисках и сложность фильтрации ложных срабатываний от фактических срабатываний.Понимание различных сценариев, которые существуют при удаленной работе (например, большее количество ложных срабатываний из-за переключения рабочих систем и доступа к инфраструктуре из офиса в дом, хакеры, использующие нарушение нормальной работы для сокрытия действий вторжений и т. Д.) помочь подготовиться к определению правильных процессов и выбору правильных систем.

COVID-19 может представлять собой настоящий кризис безопасности данных, но правда в том, что эти угрозы существовали до пандемии.Текущие обстоятельства только подчеркивают важность BCP организации, плана реагирования на инциденты, плана аварийного восстановления и других планов мониторинга безопасности - и, конечно же, выбора правильных критически важных программных платформ и поставщиков, которые умеют реагировать на инциденты безопасности данных, сводя к минимуму перерывы в работе. в том числе те, которые влияют на персонал.

Обновление политик обеспечения готовности к пандемии, если оно еще не было проведено, является лишь частью пути - тестирование и аудит - единственный способ узнать, что это работает.Моделирование потенциального события, когда либо инцидент, связанный с безопасностью данных, сотрудники или офисы вышли из строя или работают удаленно, либо их комбинация, даст некоторую уверенность в том, что существующие политики эффективны. Ежегодное обучение с акцентом на текущую политику и планы реагирования должно проводиться со всеми сотрудниками. Кроме того, следует учитывать поддержку третьих лиц, будь то юридическая поддержка защиты данных, страхование от киберпространства или даже страхование медицинского страхования сотрудников на случай пандемий.Индустрия построена на решениях для мониторинга безопасности (SIEM), консультационных услугах и других решениях по снижению рисков - выбрать их будет сложно без предварительного понимания политик, процессов и практик, которые организация готова принять.

Правила кибербезопасности, которые применялись до COVID-19, все еще действуют. В результате этого не уменьшились законы, правила и процедуры кибербезопасности, и нет никаких указаний на то, что их исполнение будет ограничено или приостановлено в настоящее время.Соответствующий ответ на COVID-19 с точки зрения кибербезопасности - это продолжать обеспечивать соблюдение основных хороших киберполитик, процедур и аудита.

Заключение

Episerver, неуклонно фокусируясь на клиентоориентированности, продолжит открыто предлагать передовые практические идеи и внедрять ведущие в отрасли политики в поддержку платформы Digital Experience Platform, что ничем не отличается от роста пандемии COVID-19. . Нет сомнений в том, что COVID-19 является точкой опоры для организаций, промышленности и общества в целом.Хотя это так, готовность организации к форс-мажорным событиям, таким как пандемии, должна решаться посредством обеспечения готовности, политик, процедур и последовательного тестирования и приверженности. Компания Episerver, занимающаяся разработкой облачных технологий и ведущим разработчиком программного обеспечения, подготовилась и провела испытания в этих условиях. Обеспечение безопасности, эффективности и надежности наших клиентов, партнеров, сотрудников, экосистемы, систем и программного обеспечения в любое время, особенно во время таких кризисов, является основным клиентом Episerver. Если у вас возникнут вопросы, обращайтесь в sales @ episerver.com или, если это указано в этой статье, [email protected]

Беспрецедентная волна персональных данных может направляться в федеральные агентства

Написано Дэйв Нючепир
3 апр.2020 г. | FEDSCOOP

Реакция на пандемию коронавируса поставила технологические и телекоммуникационные компании в положение, когда они могут без согласия отдельных лиц раскрывать большие объемы данных о себе федеральному правительству - факт, к которому эксперты по конфиденциальности находятся в состоянии повышенной готовности.

Закон о хранимых коммуникациях и другие части федерального закона включают чрезвычайные исключения, разрешающие компаниям раскрывать личные данные для правительственных экспериментов. Это происходит в то время, когда Белый дом запрашивает больше данных для отслеживания распространения COVID-19, чрезвычайной ситуации в стране.

Хотя это было частью политики конфиденциальности США около 40 лет, быстрое распространение коронавируса может привести к обмену данными в беспрецедентном масштабе - «сотни тысяч точек данных от сотен тысяч людей», - сказал Альберт Гидари, директор конфиденциальности в Центре Интернета и общества.

«У нас никогда не было серверной системы, которая ограничивала бы действия правительства», - сказал Гидари во время вебинара Фонда информационных технологий и инноваций в среду.

В соответствии с действующим законодательством у правительства нет возможности заставить Google или Facebook раскрывать информацию о местоположении для борьбы с пандемией, но общественности остается верить, что, если компании сделают это добровольно, они сделают это ответственно. Неясно, сколько именно делят между собой крупные компании Кремниевой долины и телекоммуникационные гиганты.Геолокация и данные о состоянии здоровья являются основными типами, о которых идет речь, и правительство имеет ряд государственно-частных партнерств с поставщиками телекоммуникационных услуг, приложений и хранилищ данных, которые оно может использовать для использования этой информации для отображения физического расстояния и прогнозирования будущих горячих точек.

В зависимости от поставщика эти данные могут быть «чрезвычайно точными», - сказал Гидари.

«Проблема в том, что это, кажется, немного повсюду, и отсутствует прозрачность в отношении источников данных», - сказала FedScoop Хизер Федерман, вице-президент по конфиденциальности и политике BigID.

Изначально ходили слухи, что правительство хотело использовать данные о местоположении Facebook и Google для картирования распространения COVID-19, но оказалось, что Центры по контролю и профилактике заболеваний отслеживают анонимные перемещения людей, работая со сторонними рекламными компаниями, сказал Федерман. .

Такие компании годами беспокоили защитников конфиденциальности, но в основном их игнорировали, когда они просто нацеливали рекламу о здоровье на посетителей спортзала, сказала она. Теперь они потенциально работают с правительством.

«Плохой гость на вечеринке»

Подписанный 27 марта масштабный пакет помощи дает CDC 500 миллионов долларов на «систему наблюдения и сбора данных» за коронавирусом, но не упоминаются правила конфиденциальности - только требование отчитаться перед Конгрессом через месяц. Ожидается ли, что CDC откажется от этой власти, когда пандемия закончится?

«Мы очень обеспокоены тем, что правительства склонны находить любые оправдания, чтобы попасть в двери огромных хранилищ данных, которые хранятся в частном секторе, и использовать эти данные для всех видов правоохранительных целей», - сказал Питер Мичек. , главный юрисконсульт Access Now.«Наблюдение - плохой гость на вечеринке, который остается намного дольше, чем вы ожидаете».

Эксперты в области общественного здравоохранения должны возглавить дискуссию о том, какие данные абсолютно необходимы для смягчения пандемии, и составить письменные соглашения, ограничивающие совместное использование и хранение данных, добавил Мичек.

Исторический прецедент, когда правительство запрашивало больше данных только для того, чтобы использовать их для других целей, - это 11 сентября. «Массовые» программы сбора данных, обозначенные как необходимые для борьбы с терроризмом, позволили получить больше информации, чем агентства могли бы даже использовать, сказала Рэйчел Левинсон-Уолдман, старший советник Программы свободы и национальной безопасности Центра юстиции Бреннана.

Национальная система регистрации въезда-выезда провела интервью с мужчинами из арабских стран, что, по словам Левинсон-Вальдман, было «очевидно дискриминационным на первый взгляд».

Некоторые программы слежки в соответствии с Патриотическим актом сохраняются и сегодня.

«Когда вы говорите об агентствах, получающих эту информацию, которые имеют право возбуждать уголовное дело, право осуществлять наблюдение, право задерживать и депортировать, вы хотите, чтобы это была высокая планка», - сказала она. «Будет ли эта администрация обращать пристальное внимание на вопросы конфиденциальности и последующего использования? Нет.”

По словам Левинсон-Уолдман,

государства потенциально могут вмешаться и решить такие проблемы, учитывая, что они выполняют большую часть первоначального сбора данных.

Но несколько штатов также приняли законодательство о коронавирусе, которое потребует от людей, идентифицированных как нуждающиеся в карантине, загрузить приложение, сообщающее о своем местонахождении, что вызывает больше проблем с конфиденциальностью, сказал Гидари. В качестве альтернативы, жители Нью-Йорка могут самостоятельно сообщать о состоянии коронавируса исключительно для целей общественного здравоохранения.

По словам защитников конфиденциальности, в США необходим европейский подход к конфиденциальности данных, аналогичный Общему регламенту защиты данных, но федеральные регулирующие и законодательные органы бездействуют. По словам Гидари, определения конфиденциальности в действующих законах слишком общие, и их легко обойти, чтобы их можно было понять.

«Если вы действительно хотите внедрить инновации в технологическом секторе для решения таких проблем, как пандемии такого масштаба, вам необходимо избавиться от страха перед длинным хвостом данных», - сказал он.«И поэтому, если бы вы могли сделать что-нибудь по правилам - [Министерство здравоохранения и социальных служб], [Федеральная комиссия по связи] - они могли бы немедленно решить эту проблему страха, запретив любое вторичное использование данных за пределами управления общественного здравоохранения».

Надзор за несколькими частями

К сожалению, подход США к конфиденциальности зависит от сектора, а это означает, что потребуется ввести несколько правил, сказал Федерман.

FCC обрабатывает данные о широкополосном доступе и местоположении от телекоммуникационной отрасли, в то время как Федеральная торговая комиссия имеет больше юрисдикций над Google, Facebook и сторонними компаниями, занимающимися рекламными технологиями, которые торгуют различными видами данных о местоположении.HHS могла бы решить проблему конфиденциальности медицинских данных, а также Закон о переносимости и подотчетности медицинского страхования, Закон о защите конфиденциальности детей в Интернете и Закон Грэмма-Лича-Блайли, регулирующий финансовую конфиденциальность.

«Я надеюсь, что это может доказать, что мы действительно нуждаемся в принятии федерального закона о конфиденциальности сейчас более, чем когда-либо, потому что в некотором смысле Европа была более подготовлена ​​к тому, чтобы справиться с этим», - сказал Федерман. «В их законе, Общем регламенте по защите данных, есть реальный текст о кризисе общественного здравоохранения и о том, какие права на обработку персональных данных применяются.У нас этого нет ».

-В этой истории-

Центры по контролю и профилактике заболеваний, коронавирус, конфиденциальность данных, Министерство здравоохранения и социальных служб (HHS), Facebook, Федеральная комиссия по связи, Федеральная торговая комиссия, Google, личная информация, конфиденциальность, Белый дом .

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *