Федеральный закон о защите информации и персональных данных: Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (последняя редакция) \ КонсультантПлюс

Статья 1. Сфера действия настоящего Федерального закона \ КонсультантПлюс

Подготовлена редакция документа с изменениями, не вступившими в силу

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

(часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1.1. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.

(часть 1.1 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. — Федеральный закон от 25.07.2011 N 261-ФЗ;

(см. текст в предыдущей редакции)

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) утратил силу. — Федеральный закон от 29.07.2017 N 223-ФЗ.

(см. текст в предыдущей редакции)

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

(часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ)

Пять ФЗ о защите информации, которые стоит знать

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные.

Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы VK Cloud (бывш. MCS) находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке VKможно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK.

При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Законы США о конфиденциальности: полное руководство

Содержание

В Соединенных Штатах действует лоскутная и постоянно меняющаяся сеть законов, регулирующих конфиденциальность данных. Хотя всеобъемлющего федерального указа о конфиденциальности не существует, несколько законов сосредоточены на конкретных типах данных или ситуациях, касающихся конфиденциальности.

Однако без целостного статута может быть неясно, какие меры защиты предусмотрены для различных типов личной информации и в каких компаниях. Несмотря на отсутствие всеобъемлющей системы обеспечения конфиденциальности, организации, которые обрабатывают или хранят данные, по-прежнему несут ответственность за своевременную актуализацию последних нормативных требований для обеспечения соответствия.

В этом руководстве содержится подробная информация об основных законах США о конфиденциальности, а также о некоторых последних обновлениях и изменениях. Вы также можете загрузить этот подробный информационный бюллетень, чтобы быстро ознакомиться с законами США о защите данных.

Получите бесплатное базовое руководство по соблюдению и законодательству США по защите данных

• Конфиденциальность и безопасность в Интернете: как это обеспечивается?
• Законы США о конфиденциальности с вертикальной направленностью
• Новые законы штата США о конфиденциальности данных
• Какие требования конфиденциальности применяются ко мне?
• Часто задаваемые вопросы о конфиденциальности данных

Конфиденциальность и безопасность в Интернете: как это обеспечивается?

В отличие от других форм связи, таких как физическая почта, конфиденциальность и безопасность в Интернете сложнее контролировать. Это может сделать людей уязвимыми для вторжения в частную жизнь.

Интернет-безопасность и вводящая в заблуждение реклама: как они связаны?

Интернет произвел революцию в нашей жизни и работе, предоставив беспрецедентный доступ к информации и общению. Однако наряду с этим расширением возможностей подключения возникают новые риски для конфиденциальности. Жизнь каждого теперь находится в сети, оставляя за собой цифровой след личных данных, которым могут воспользоваться недобросовестные компании или отдельные лица.

К счастью, законы о конфиденциальности данных регулируют сбор, использование и раскрытие персональных данных и устанавливают стандарты того, как предприятия должны обращаться с конфиденциальными данными. Федеральная торговая комиссия (FTC) является основным исполнителем этих законов в США. В последние годы FTC предприняла несколько принудительных мер против компаний, которые вводили потребителей в заблуждение относительно их методов обеспечения безопасности и конфиденциальности данных.

Например, в 2012 году Федеральная торговая комиссия (FTC) пришла к соглашению с Google после того, как обвинила компанию в искажении своей политики конфиденциальности пользователями своего сервиса. В соответствии с условиями оплаты Google согласилась выплатить штраф в размере 22,5 млн долларов и изменить свои методы обеспечения конфиденциальности. Совсем недавно, в 2018 году, Федеральная торговая комиссия приняла меры против Facebook за обман пользователей относительно их способности контролировать видимость их личной информации. Опять же, по соглашению с FTC, Facebook согласился выплатить штраф в размере 5 миллиардов долларов и внести существенные изменения в свои меры конфиденциальности.

Эти случаи показывают, что Федеральная торговая комиссия готова принять жесткие меры в отношении компаний, которые нарушают законы о конфиденциальности потребителей. Эти примеры также создают важный прецедент для будущих судебных исков о конфиденциальности в Интернете — поскольку жизнь людей продолжает перемещаться в онлайн, должны быть приняты строгие законы для защиты данных от эксплуатации.

GDPR и CCPA: как сравниваются законы о конфиденциальности США и ЕС?

GDPR и CCPA: чем они отличаются?

GDPR:

• Широкий охват: Применяется ко всем организациям по всему миру, которые обрабатывают или отслеживают данные граждан ЕС
• Последовательное правоприменение: Взимает крупные штрафы с компаний-нарушителей
• Специальный надзор: Требуется назначение сотрудника по защите данных для контроля за соблюдением требований

CCPA:

• Узкий охват: Применяется только к организациям, ведущим бизнес в Калифорнии
• Непоследовательное правоприменение: Наделяет жителей правоприменением через судебные процессы против компаний-нарушителей
• Отсутствие надзора: Не требует назначения сотрудника для надзора за исполнением

США и Европа имеют самые полные законы о безопасности данных и конфиденциальности; Общий регламент ЕС по защите данных (GDPR) вступил в силу в 2018 г. , а Калифорнийский закон о конфиденциальности потребителей (CCPA) вступил в силу в 2020 г. 

GDPR и CCPA устанавливают строгие стандарты того, как поставщики услуг должны обрабатывать персональные данные, в том числе обеспечивать прозрачность и безопасность сбора данных и получать их с согласия заинтересованного лица. Стандарты также предоставляют людям право знать, какие личные данные о них собираются, и позволяют им получить к ним доступ и запросить их удаление.

Основное различие между CCPA и GDPR заключается в том, что GDPR применяется к любой организации, которая обрабатывает или намеревается обрабатывать конфиденциальные данные граждан ЕС, независимо от ее местонахождения. Соблюдение GDPR обязательно для любой организации, которая обрабатывает персональные данные граждан ЕС, независимо от того, являются они клиентами или нет. Для GDPR также нет требований к доходам или пороговым значениям обработки.

CCPA распространяется только на организации, ведущие бизнес в Калифорнии. Это правило применяется к организациям, удовлетворяющим пороговым значениям, таким как годовой доход выше 25 миллионов долларов США, к любой организации, которая обрабатывает персональные данные более 50 000 человек, и к организациям, которые получают 50 процентов своего дохода от продажи данных.

Эти требования означают, что GDPR имеет гораздо более широкий охват и защиту, чем CCPA. Например, с точки зрения правоприменения GDPR предусматривает крупные штрафы для поставщиков услуг, нарушающих его положения. Напротив, CCPA предлагает жителям Калифорнии право предъявлять иски предприятиям о возмещении ущерба в случае нарушения их прав потребителей.

Наконец, GDPR требует от компаний назначать сотрудника по защите данных, в то время как CCPA не требует такого требования. В то время как GDPR и CCPA являются строгими законами о защите данных, предоставляющими людям надежные права и защиту, применимость GDPR выходит за пределы США, что делает его одной из самых масштабных структур защиты данных на сегодняшний день.

Для организаций крайне важно проконсультироваться с юрисконсультом и тщательно изучить, какие законы применяются к ним, обеспечивая соблюдение каждого применимого требования.

Законы США о конфиденциальности с вертикальной направленностью

Вообще говоря, законы о конфиденциальности делятся на две категории: вертикальные и горизонтальные. Вертикальные законы о конфиденциальности защищают медицинские записи или финансовые данные, включая такие сведения, как здоровье и финансовое положение человека.

Законы о горизонтальной конфиденциальности сосредоточены на том, как организации используют информацию, независимо от ее контекста. Типы данных, на которые распространяются эти законы, включают отпечатки пальцев, сканирование сетчатки глаза, биометрические данные и другую личную информацию, такую ​​как имена и адреса.

Хронология закона США о конфиденциальности данных

1974

Закон США о конфиденциальности от 1974 г.

Права и ограничения в отношении данных, хранящихся в государственных органах

1999

Закон Грэмма-Лича-Блайли (GLBA)

Защищает непубличную финансовую личную информацию (NPI)

2000

Закон о защите конфиденциальности детей в Интернете (COPPA)

Защищает личную информацию лиц в возрасте 12 лет и младше

Хотя как вертикальные, так и горизонтальные законы о конфиденциальности играют важную роль в защите прав людей на неприкосновенность частной жизни, многие считают вертикальные политики более эффективными, поскольку они лучше нацелены на конкретные риски.

Закон США о конфиденциальности от 1974 г.

Федеральное правительство приняло Закон США о конфиденциальности 1974 г., чтобы усилить защиту частной жизни. Этот закон установил правила и положения, касающиеся сбора, использования и раскрытия личной информации государственными учреждениями США. Ниже приведены некоторые примеры гарантированных прав, на которые распространяется правило конфиденциальности информации:

• Право запрашивать доступ и исправлять данные, если это необходимо: граждан США имеют право на доступ к своим личным данным, хранящимся в государственных учреждениях, и запрашивать изменения, если они считают информацию неточной.
• Право доступа к данным (ограничено на индивидуальной основе): Правительственные учреждения предоставляют пользователям доступ к данным в зависимости от их роли в компании.
• Право на информацию об использовании данных: Люди должны знать, как агентства используют их личные данные после их сбора.

HIPAA

Принятый в 1996 г. Закон о переносимости и подотчетности медицинского страхования (HIPAA) представляет собой федеральный закон о защите конфиденциальности, который защищает медицинскую информацию физических лиц. HIPAA применяется ко всем организациям, которые обрабатывают защищенную медицинскую информацию (PHI), включая поставщиков медицинских услуг, больницы и страховые компании. Когда компания передает ЗМИ поставщику медицинских услуг или застрахованной организации, физические лица имеют следующие права:

• Застрахованная организация может использовать данные пациентов для определенных целей, таких как лечение и оплата. Однако явное разрешение маркетинговой деятельности требует, чтобы поставщики медицинских услуг запрашивали разрешение у пациентов, которым принадлежит их личная информация.
• Поставщик медицинских услуг должен предоставить пациенту уведомление о методах обеспечения конфиденциальности, в котором описывается, как поставщик будет использовать и защищать данные пациента. Пациенты могут запрашивать ограничения на то, как поставщики медицинских услуг используют и раскрывают их личную информацию.
• Пациенты имеют право обновлять свои медицинские записи, если они считают информацию неточной.

КОППА

Конгресс принял Закон о защите конфиденциальности детей в Интернете (COPPA) в 1998 для защиты конфиденциальности в Интернете несовершеннолетних в возрасте до 13 лет. COPPA применяется к любому веб-сайту или онлайн-сервису, который собирает, использует или раскрывает личную информацию от детей. В соответствии с COPPA веб-сайты и онлайн-сервисы должны предпринимать следующие шаги для защиты конфиденциальности детей:

• Разместите четкую и краткую политику конфиденциальности, объясняющую, какую информацию поставщики услуг будут собирать от детей, как они будут ее использовать и при каких обстоятельствах они будут раскрывать ее третьим лицам.
• Получите согласие родителей перед сбором, использованием или раскрытием личных данных детей.
• Предоставьте родителям возможность просматривать и удалять личную информацию своего ребенка.

ГЛБА

В 1999 году правительство США подписало Закон Грэмма-Лича-Блайли (GLBA). Этот закон защищает конфиденциальность потребителей и применяется к любому финансовому учреждению, которое собирает, использует или раскрывает личную информацию. Финансовые учреждения должны принимать следующие меры для защиты конфиденциальности физических лиц:  

• Объясните клиентам методы обмена информацией и разрешите им отказаться от передачи своих данных третьим лицам.
• Следуйте установленным правилам сбора, использования и защиты данных клиентов финансовыми учреждениями. Закон распространяется на все типы потребительских данных, включая информацию, собранную в Интернете.
• Разработать и внедрить письменную программу информационной безопасности для защиты данных клиентов от несанкционированного доступа.

Новые законы штата США о конфиденциальности данных

Законы о конфиденциальности в США различаются в зависимости от штата — в некоторых штатах приняты законы, обеспечивающие защиту конфиденциальности, а в других нет никаких правил. Ниже приведены некоторые примеры подписанных и предложенных законов о конфиденциальности отдельных штатов: 

.

Калифорния

В 2020 году избиратели в Калифорнии приняли Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA), поправку к CCPA. CPRA обеспечивает дополнительную защиту для калифорнийцев, например, право знать, какие личные данные о них собирают организации, и право знать, продают ли компании свои данные и кому.

Колорадо

Закон штата Колорадо о конфиденциальности — это новый закон, который вступит в силу 1 июля 2023 года. Этот закон требует от компаний раскрывать информацию о своих методах сбора и обмена данными с потребителями и дает жителям Колорадо право отказаться от продажи своих личных данных. . Закон также налагает строгие санкции на компании и уполномочивает генерального прокурора штата возбуждать принудительные действия.

Коннектикут

Закон Коннектикута о конфиденциальности личных данных и онлайн-мониторинге распространяется на любую компанию, которая собирает личную информацию от жителей Коннектикута. Закон устанавливает правила защиты конфиденциальности для контролеров и обработчиков данных и требует от них принятия разумных мер безопасности для защиты персональных данных.

Мэриленд

Закон штата Мэриленд о защите потребителей в Интернете защищает потребителей от угроз кибербезопасности, включая утечку данных, кражу, фишинг и шпионское ПО. Хотя этот закон похож на законы других штатов о конфиденциальности, в некоторых отношениях он является более всеобъемлющим.

Например, закон штата Мэриленд требует от компаний принятия разумных мер для защиты личной информации потребителей от несанкционированного доступа, использования или раскрытия. Закон также требует, чтобы организации предоставляли потребителям возможность отказаться от сбора, использования или продажи их личной информации.

Этот закон применяется ко всем предприятиям, которые собирают, используют или раскрывают личные данные о жителях Мэриленда, включая компании за пределами штата, которые продают товары или услуги местным жителям Мэриленда.

Массачусетс

Закон штата Массачусетс о конфиденциальности данных представляет собой набор правил, регулирующих обращение компаний с личной информацией. Закон распространяется на любую организацию, которая хранит, использует или раскрывает персональные данные жителей Массачусетса.

В некоторых положениях закона говорится, что компании должны получить согласие потребителей, прежде чем собирать или использовать их данные. Кроме того, организации должны предпринять необходимые шаги для защиты данных потребителей. Закон штата также устанавливает, что компании должны раскрывать информацию о том, как они используют данные потребителей, и разрешать клиентам отказываться от конкретных видов использования. Наконец, организации должны убедиться, что собираемые ими данные точны и актуальны.

Нью-Йорк

Нью-Йоркский закон о конфиденциальности является одним из наиболее полных законодательных актов о конфиденциальности и безопасности в США. Этот закон устанавливает строгие правила в отношении того, как предприятия должны обращаться с личной информацией потребителей, и предоставляет физическим лицам новые права в отношении данных. Закон существенно влияет на компании, работающие в штате Нью-Йорк, и помогает всем жителям контролировать свою личную информацию. Некоторые ключевые положения закона о конфиденциальности включают:

• Организации должны раскрывать, какие категории потребительских данных они собирают, используют или продают, а также цели, для которых они будут использовать эти данные.
• Надежные механизмы правоприменения обеспечивают частное право на иск и применяют гражданско-правовые санкции за каждое нарушение.

Вирджиния

Закон штата Вирджиния о защите данных потребителей — это новый закон, который вступит в силу 1 января 2023 года. Он требует от компаний принятия разумных мер для защиты конфиденциальности, конфиденциальности и целостности данных потребителей.

Этот новый закон применяется к любому бизнесу, который собирает, использует или раскрывает личную информацию 100 000 или более потребителей Вирджинии или получает 50 или более процентов своего дохода от продажи данных потребителей.

Закон также дает жителям Вирджинии право на доступ к своим личным данным и запросить исправление, если они неверны.

Сравнение законов штата США о конфиденциальности

Между законами каждого штата есть существенные различия. Например, законы Калифорнии, Нью-Йорка и Массачусетса распространяются на любую компанию, которая ведет бизнес в штате, независимо от того, есть ли у них там офис. Для сравнения, закон Мэриленда применяется только к организациям, которые физически присутствуют в штате. Кроме того, законы о конфиденциальности Калифорнии и Мэриленда применяются к предприятиям с годовым доходом более 25 миллионов долларов, в то время как в других странах таких ограничений нет.

Какие требования конфиденциальности применяются ко мне?

Хотя экосистема законов штата и федерального законодательства о конфиденциальности может показаться сложной, существуют простые способы определить, какие нормативные требования применяются к вам и вашему бизнесу. Рассмотрим свой бизнес:

• Местонахождение: Работайте со своим партнером по соблюдению нормативных требований и получите хорошее внутреннее представление о том, какие нормы штата и федеральные нормы применяются к вам.
• Отрасль: Различные вертикали по-разному относятся к законам США о конфиденциальности, от здравоохранения до розничной торговли и финансовых услуг. Вместе со своим партнером по соблюдению требований вы захотите провести тщательный поиск отраслевых стандартов и внедрить меры и средства контроля для соответствия HIPAA, Регуляторному органу финансовой отрасли и другим отраслевым нормам.
• Размер: Если вы храните большие объемы личных или конфиденциальных данных с помощью сторонних поставщиков облачных услуг или организаций, вам также следует перепроверить, чтобы их элементы управления никоим образом не угрожали вашему соответствию требованиям.

Используя эти ключевые факторы, определить, какие требования конфиденциальности применимы к вашей организации, может быть относительно просто.

Часто задаваемые вопросы о конфиденциальности данных

Ниже приведены часто задаваемые вопросы о законах о конфиденциальности данных.

В: Чем законы о конфиденциальности в США отличаются от европейских?

О: Самое существенное отличие заключается в том, что в США нет единого комплексного федерального закона о конфиденциальности, подобного GDPR ЕС. Вместо этого в США есть лоскутное одеяло из федеральных законов и законов штатов, которые предлагают различные уровни защиты личных данных потребителей.

В: Каковы основные пункты федеральных законов США и законов штата о конфиденциальности?

A: Большинство законов США о конфиденциальности имеют несколько основных положений, таких как получение согласия потребителя перед сбором или использованием персональных данных и необходимость принятия мер по обеспечению безопасности данных. Однако между законами есть некоторые существенные различия, поэтому важно проверять конкретные требования каждого указа, чтобы обеспечить их соблюдение.

В: Каковы последствия нарушения законов США о конфиденциальности?

A: Последствия нарушения законов США о конфиденциальности могут различаться в зависимости от закона. В некоторых случаях юридические лица могут быть подвергнуты штрафам или другим санкциям. В других случаях потребители могут иметь право предъявить иск компании о возмещении ущерба.

Будущее законов о конфиденциальности данных

По мере того, как каждый год все больше личных и конфиденциальных данных переходит из рук в руки в цифровом виде, понимание законов, защищающих нашу конфиденциальность, становится все более важным. В Соединенных Штатах законы о конфиденциальности в Интернете все еще находятся в стадии разработки, но они являются хорошим началом для защиты личных данных. Граждане и жители могут ожидать, что в будущем все больше штатов примут всеобъемлющие законы о конфиденциальности, а федеральное правительство может в конечном итоге принять закон, обеспечивающий общенациональную защиту данных потребителей.

В то же время, чтобы быть в курсе последних мер безопасности и изменений в области конфиденциальности данных, необходимо принимать меры для защиты вашей личной информации. Развертывание решений для предотвращения потери данных и обнаружения угроз также может помочь вам защитить ваши данные и обеспечить соблюдение законов о конфиденциальности.

Что вам следует сделать сейчас

Ниже приведены три способа, с помощью которых мы можем помочь вам начать путь к снижению рисков, связанных с данными в вашей компании:

1. Запланируйте с нами демонстрационную сессию, где мы сможем показать вам все, ответить на ваши вопросы и помочь вам понять, подходит ли вам Varonis.
2. Загрузите наш бесплатный отчет и узнайте о рисках, связанных с раскрытием данных SaaS.
3. Поделитесь этой записью в блоге с теми, кого вы знаете, кому будет интересно ее прочитать. Поделитесь им с ними по электронной почте, LinkedIn, Twitter, Reddit или Facebook.

Дэвид Харрингтон

Дэвид — профессиональный писатель и консультант по передовым идеям для брендов корпоративных технологий, стартапов и фирм венчурного капитала.

Бесплатная оценка риска данных

Присоединяйтесь к более чем 7000 организаций, которые променяли тьму данных на автоматизированную защиту. Начните работу за считанные минуты.

Получите оценку риска Посмотреть образец

Inside Out Security — Безопасность наизнанку

Последние статьи

Точная дорожная карта безопасности данных, которую мы использовали с более чем 7000 директоров по информационной безопасности

Роб Соберс

11 апреля 2023 г. Более 7000 директоров по информационной безопасности отвечают за соблюдение требований и защиту ценных данных.

Глобальные тенденции угроз и будущее реагирования на инциденты

Меган Гарза

10 апреля 2023 г.

Группа реагирования на инциденты Varonis обсуждает последние глобальные тенденции угроз и рассказывает, почему упреждающее IR — это будущее безопасности данных.

80 Статистика и тенденции кибербезопасности [обновлено в 2023 г.]

Меган Гарза

29 марта 2023 г.

Мы собрали более 70 статистических данных по кибербезопасности за 2023 год, чтобы дать вам лучшее представление о текущем состоянии общей безопасности.

Главные тенденции кибербезопасности на 2023 год

Меган Гарза

23 марта 2023 г.

Мы собрали основные прогнозы безопасности на 2023 год, чтобы помочь вам определить, в каких случаях следует проявлять осторожность, а в каких можно вздохнуть спокойно.

Просмотреть все Безопасность данных

HardBit 2. 0 Программа-вымогатель

Джейсон Хилл

20 февраля 2023 г.

HardBit — это программа-вымогатель, нацеленная на организации, вымогающие платежи в криптовалюте для расшифровки их данных. HardBit версии 2.0, которая, казалось бы, улучшилась по сравнению с их первоначальным выпуском, была представлена ​​в конце ноября 2022 г., а образцы можно было увидеть в конце 2022 г. и в 2023 г.

Neo4jection: секреты, данные и облачные эксплойты

Нитай Бахрах

8 февраля 2023 г.

В связи с непрерывным ростом графовых баз данных, особенно Neo4j, мы наблюдаем учащение дискуссий среди исследователей безопасности о проблемах, обнаруженных в этих базах данных. Однако, учитывая наш опыт работы с графовыми базами данных — от разработки сложных и масштабируемых решений с графовыми базами данных до атак на них — мы заметили разрыв между публичными обсуждениями и знаниями наших исследователей безопасности об этих системах.

VMware ESXi в очереди на уничтожение программ-вымогателей

Джейсон Хилл

7 февраля 2023 г.

выявлять хосты с уязвимостями Open Service Location Protocol (OpenSLP).

Перекрёстный разговор и секретный агент: два вектора атаки на Identity Suite Окты

Таль Пелег и Нитай Бахрах

23 января 2023 г.

Лаборатория угроз Varonis обнаружила и раскрыла два вектора атаки на идентификационный пакет Okta: CrossTalk и Secret Agent.

Просмотреть все Исследование угроз

Varonis открывает центр обработки данных в Австралии для поддержки клиентов SaaS

Рэйчел Хант

11 апреля 2023 г.

Расширение в Австралии позволяет клиентам Varonis достигать результатов автоматизированной защиты данных, соблюдая национальные стандарты конфиденциальности данных.

Как Varonis экономит рабочее время администраторов Salesforce | Варонис

Натан Коппингер

8 марта 2023 г.

Varonis предлагает лучшие в отрасли возможности управления Salesforce и последствия разрешений, помогающие администраторам Salesforce экономить рабочее время

Varonis расширяет предложение безопасности GitHub за счет обнаружения секретов и классификации данных | Varonis

Nathan Coppinger

7 февраля 2023 г.