152-ФЗ о персональных данных с изменениями на 2021 год — PDMaster.ru
Подробная информация об изменениях законодательства в области защиты персональных данных
Проконсультироваться у эксперта
«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»
Что же такое согласие на обработку персональных данных?
Персональные данные (также — ПД или ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К ней относятся: серия и номер паспорта, сведения о рождении, адрес постоянной регистрации и проживания субъекта, а также контактный номер телефона и другие идентификаторы, позволяющие идентифицировать лицо. На сегодняшний день к ПД можно отнести информацию о паролях и кодах к страницам социальных сетей людей и адрес электронной почты. Важным фактом остаётся и сохранность пароля от банковских карт, которые сейчас очень часто оказываются в руках мошенников.
Главной целью закона 152-ФЗ является гарантирование защиты прав и свобод человека и гражданина при обработке его персональных данных, обязательно защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Основная характеристика закона.
Основной характеристикой 152-ФЗ является его направленность на защиту персональных данных субъекта от несанкционированного доступа к ним и предотвращение незаконной обработки. Основная проблема на сегодняшний день — это использование личных данных человека незаконным путем.
Вышеуказанные сведения о субъекте персональных данных относятся к индивидуальной информации. Частично ответственность за их распространение можно возложить и на самого владельца таковых, поскольку нередко человек дает согласие на обработку непроверенным операторам (Подробнее). Однако даже на первый взгляд внушающие доверие организации и их сотрудники допускают промахи. Для того чтобы обезопасить эту информацию, органы власти принимает различные меры, в рамках которых операторы по обработке ПДн, получившие данные от физического лица, должны нести за их полную сохранность.
Другими словами, 152-ФЗ о персональных данных принимался с целью обезопасить распространение информации о персональных данных граждан без их согласия на это. Именно поэтому главным его правилом остаётся понятие о том, что оператор — это тот человек, который отвечает за всю конфиденциальность полученной информации.
Изменения на 1 января 2019 года (актуально в 2020)
Сам закон содержит в себе 25 статей. В 2017 году правительство страны хотело ввести новые изменения в текст, но они так и не были оформлены официально. Несмотря на это, 2019 год принёс более существенные правки, некоторые из которых уже вступили в законную силу: был расширен список нарушений, за которые предусмотрена административная ответственность, а также на порядок был увеличен размер. Тут основная задача оператора по обработке ПДн остается прежней — понять, как же не нарушить правовые нормы законодательства и не стать мошенником.
Краткий обзор изменений в 2021 году мы рассматривали по ссылке ниже
youtube.com/embed/RinKLxrm3N4″ frameborder=»0″ allow=»accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture» allowfullscreen=»»>Ситуации применения законодательства.
С января 2019 года список нарушений, которые предусматривают ответственность, следующий:
- обработка данных физического лица без соотношения с главными целями;
- при обработке личных персональных данных отсутствует согласие на ее проведение;
- ненадлежащее информирование человека о полной политике получения и
- обработки личной информации или полное отсутствие информирования;
- неознакомление человека с информацией об обработке личных данных;
- личная информация была получена незаконным путем;
- в случае, когда удаляются или уничтожаются личные данные;
- неправильное выполнение обезличивания.
При исполнении одного из перечисленных нарушений оператору по обработке ПД может быть вменено административное или уголовное наказание (согласно ст.
Регулирование отношений.
Органы власти в настоящий момент могут регулировать все отношения, которые касаются любых действий с персональными данными в соответствии с законом. Конечно, в этом вопросе есть свои исключения, по которым оператор и субъект имеют отдельные отношения. К ним можно отнести:
обработку персональной информации для заключения трудового договора, получение при его заключении информации и использование её строго в пределах контрактов;
когда полученные данные можно отнести к общедоступным;
в случае, если личные данные — это фамилия, имя и отчество человека;
ситуации, когда необходимо создать одноразовый пропуск на посещение территории.
Все остальные ситуации должны рассматриваться под контролем Роскомнадзора.
Последняя редакция закона 152-ФЗ.
Для избежания ситуаций несанкционированного разглашение личной информации необходимо ее обезопасить. Июль 2019 года принёс следующее: государство приняло решение приравнять генетический материал к личной информации. Главная цель такого изменения заключается в сохранности полной информации, которая касается любой генетической информации физического лица.
16 февраля 2019 года стало известно о том, что государство приняло конкретные правила по контролю за любой обработкой личных данных. Согласно ним, весь контроль за передачей и обработкой информации будет осуществляться посредством Роскомнадзора и его органов. Под этим подразумевается проведение различных мер по проявлению нарушений со стороны операторов, а также их устранение и профилактика выявления нарушений.
Кроме того, операторы по обработке могут быть предупреждены о приближающейся проверке за три рабочих дня, а в случае, если необходимо внепланово — за сутки. Описан свод правил, по которому может осуществляться проверка, как правильно заполнять документацию после проведения контроля, а также обо всех досудебных обжалованиях.
20 января 2019 года появилась информация, что Роскомнадзор начал заводить дела в от отношении корпораций Twitter и Facebook, поскольку они не соблюдают все правила, которые прописаны в законодательстве о защите конфиденциальной информации.
Таким образом, можно сделать вывод, что право человека на полную защиту его персональных данных полностью охраняются законодательством РФ. При любом нарушении мошенников ждет административная либо уголовная ответственность. За любое действие по передаче индивидуальной информации ответственность несет только оператор.
Обращаем внимание, если Вы все еще сомневаетесь в актуальности закрепленных процессов по работе с персональными данными или у Вас есть вопросы по разработке документов — Вы всегда можете обратиться за консультацией в форме ниже.
Здесь можно задавать свои вопросы
«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»
Положение о персональных данных в 2019 году: пример
Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.
Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).
В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.
См. “Образец согласия на обработку персональных данных на 2019 год“.
Положение о персональных данных: структура
Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).
С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.
Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.
10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).
Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.
При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:
- обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
- работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
- работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.
Образец положения о персональных данных 2019
СКАЧАТЬ ОБРАЗЕЦ ПОЛОЖЕНИЯ О ПЕРСОНАЛЬНЫХ ДАННЫХ 2019
Далее приведем возможный текст положения о защите персональных данных в 2019 году:
Общество с ограниченной ответственностью «Стелла»
(ООО Стелла»)
УТВЕРЖДАЮ
Директор
ООО «Стелла»
__________ А.С. Пушкин
9 июля 2019 года
ПОЛОЖЕНИЕ
О работе с персональными данными работников
9 июля 2019 года Москва
1. Общие положения
1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.
1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.
1.3. Настоящее Положение вступает в силу с 9 июля 2018 года.
2. Получение и обработка персональных данных работников2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.
2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.
2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.
2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.
2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.
2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.
3. Хранение персональных данных работников3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.
3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.
3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.
3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.
3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.
3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.
4. Использование персональных данных работников4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.
4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.
4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.
5. Передача персональных данных работников5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.
5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.
5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.
6. Гарантии конфиденциальности персональных данных работников6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.
6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.
Работники должны быть под подпись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним).
Приводим для примера лист ознакомления работников с Положением о персональных данных
Ф. И.О. работника | Дата ознакомления | Подпись | |
Усиков Сергей Иванович | 10.10.2019 | Усиков | |
Законопроект о защите персональных данных, 2019 г.
Министерство:
Закон и правосудие
- Законопроект о защите персональных данных 2019 года был представлен в Лок Сабхе министром электроники и информационных технологий г-ном Рави Шанкаром Прасадом 11 декабря 2019 года. Законопроект направлен на обеспечение защиты персональных данных физических лиц и устанавливает орган по защите данных для того же.
- Область применения: Законопроект регулирует обработку персональных данных: (i) правительством, (ii) компаниями, зарегистрированными в Индии, и (iii) иностранными компаниями, работающими с личными данными физических лиц в Индии. Персональные данные — это данные, относящиеся к характеристикам, чертам или атрибутам личности, которые могут быть использованы для идентификации человека. Законопроект классифицирует некоторые персональные данные как конфиденциальные персональные данные. Сюда входят финансовые данные, биометрические данные, кастовые, религиозные или политические убеждения или любые другие категории данных, указанные правительством по согласованию с Управлением и соответствующим отраслевым регулирующим органом.
- Обязанности доверителя данных: Доверитель данных — это юридическое или физическое лицо, которое определяет средства и цель обработки персональных данных. На такую обработку будут распространяться определенные ограничения по цели, сбору и хранению. Например, персональные данные могут обрабатываться только для конкретной, четкой и законной цели. Кроме того, все фидуциары данных должны принимать определенные меры прозрачности и подотчетности, такие как: (i) внедрение мер безопасности (таких как шифрование данных и предотвращение неправомерного использования данных) и (ii) создание механизмов рассмотрения жалоб для рассмотрения жалоб отдельных лиц. Они также должны внедрить механизмы проверки возраста и согласия родителей при обработке конфиденциальных персональных данных детей.
- Права личности: Законопроект устанавливает определенные права личности (или данных принципала). К ним относятся право: (i) получить подтверждение от доверенного лица о том, были ли обработаны их персональные данные, (ii) потребовать исправления неточных, неполных или устаревших персональных данных, (iii) передать персональные данные любое другое доверенное лицо данных при определенных обстоятельствах, и (iv) ограничить дальнейшее раскрытие своих личных данных доверенным лицом, если в этом больше нет необходимости или если согласие отозвано.
- Основания обработки персональных данных: Законопроектом допускается обработка данных доверенными лицами только при наличии согласия физического лица. Однако при определенных обстоятельствах персональные данные могут обрабатываться без согласия. К ним относятся: (i) если это требуется государством для предоставления пособий физическому лицу, (ii) судебное разбирательство, (iii) реагирование на неотложную медицинскую помощь.
- Посредники в социальных сетях: Закон определяет их как посредников, которые обеспечивают онлайн-взаимодействие между пользователями и позволяют обмениваться информацией. Все такие посредники, количество пользователей которых превышает установленный порог и чьи действия могут повлиять на избирательную демократию или общественный порядок, несут определенные обязательства, в том числе предоставление механизма добровольной проверки пользователей для пользователей в Индии.
- Орган по защите данных: Законопроект учреждает Орган по защите данных, который может: (i) принимать меры для защиты интересов отдельных лиц, (ii) предотвращать неправомерное использование личных данных и (iii) обеспечивать соблюдение законопроекта. Он будет состоять из председателя и шести членов с опытом работы в области защиты данных и информационных технологий не менее 10 лет. Приказы Администрации могут быть обжалованы в Апелляционном суде. Апелляции из Трибунала поступают в Верховный суд.
- Передача данных за пределы Индии: Конфиденциальные личные данные могут быть переданы за пределы Индии для обработки, если лицо дало на это явное согласие и при соблюдении определенных дополнительных условий. Однако такие конфиденциальные личные данные должны по-прежнему храниться в Индии. Некоторые персональные данные, объявленные правительством как важные персональные данные, могут обрабатываться только в Индии.
- Исключения: Центральное правительство может освободить любое из своих учреждений от положений Закона: (i) в интересах государственной безопасности, общественного порядка, суверенитета и целостности Индии и дружественных отношений с иностранными государствами, и (ii) для предотвращения подстрекательства к совершению любого признанного правонарушения (т. е. ареста без ордера), связанного с вышеуказанными вопросами. Обработка персональных данных также не подпадает под действие положений законопроекта для некоторых других целей, таких как: (i) предотвращение, расследование или судебное преследование любого преступления или (ii) личные, бытовые или (iii) журналистские цели. Однако такая обработка должна осуществляться для конкретной, четкой и законной цели с определенными гарантиями безопасности.
- Правонарушения: Правонарушения в соответствии с законопроектом включают: (i) обработку или передачу персональных данных в нарушение законопроекта, наказуемую штрафом в размере 15 крор рупий или 4% годового оборота доверительного управляющего, в зависимости от того, что больше, и ( ii) непроведение аудита данных, наказывается штрафом в размере пяти крор рупий или 2% от годового оборота фидуциара, в зависимости от того, что больше. Повторная идентификация и обработка обезличенных персональных данных без согласия наказывается лишением свободы на срок до трех лет или штрафом, или и тем, и другим.
- Передача неличных данных правительству: Центральное правительство может поручить доверенным лицам предоставить ему любые: (i) неличные данные и (ii) анонимные личные данные (если невозможно идентифицировать субъекта данных) для лучшего таргетирования услуг.
- Поправки к другим законам: Законопроект вносит поправки в Закон об информационных технологиях 2000 года, чтобы исключить положения, касающиеся компенсации, выплачиваемой компаниями за неспособность защитить личные данные.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Этот документ предоставляется вам для информации. Вы можете воспроизводить или распространять этот отчет в некоммерческих целях частично или полностью любому другому лицу при должном уведомлении PRS Legislative Research («PRS»). Мнения, выраженные здесь, полностью принадлежат автору (авторам). PRS делает все возможное, чтобы использовать достоверную и исчерпывающую информацию, но PRS не гарантирует, что содержание отчета является точным или полным. PRS — независимая некоммерческая группа. Этот документ был подготовлен без учета целей или мнений тех, кто может его получить.
Взгляд на предлагаемые изменения к законопроекту о защите (персональных) данных Индии
16 декабря 2021 г. Объединенный парламентский комитет представил свой долгожданный отчет в парламент Индии после двухлетнего обсуждения законопроекта о защите персональных данных 2019 г. Мы надеемся, что это кульминация серии расширений, предоставленных JPC, и проложит путь к сильному закону о защите данных в крупнейшей в мире демократии.
Пройденный путь: В 2017 году Верховный суд Индии (высший судебный орган Индии) объявил право на неприкосновенность частной жизни основным правом, защищенным Конституцией Индии. Он также рекомендовал центральному правительству Индии ввести в действие режим защиты данных, учитывающий интересы отдельных лиц, а также законные интересы государства и способствующий созданию условий для предпринимательства и инноваций. В том же году правительство назначило экспертную комиссию во главе с бывшим судьей Верховного суда судьей Б. Н. Шрикришна разработать законопроект о защите персональных данных, который «обеспечит рост цифровой экономики при сохранении безопасности и защиты личных данных граждан». Комитет экспертов представил свой отчет вместе с законопроектом о защите данных в июле 2018 г. Затем правительство создало СПК для рассмотрения PDPB9.0003
Комитет консультировался с различными заинтересованными сторонами, такими как отраслевые и регулирующие органы и поставщики услуг. Сюда входят Министерство электроники и информационных технологий, Резервный банк Индии, Совет по ценным бумагам и биржам Индии, Национальная платежная корпорация Индии, Департамент подоходного налога, Управление уникальной идентификации Индии, Национальная ассоциация компаний-разработчиков программного обеспечения и услуг, крупные игроки в социальных сетях. , юридические фирмы и другие. Цель состояла в том, чтобы понять, как личные и конфиденциальные данные обрабатываются в режиме реального времени с применением реальных мер защиты данных, предотвращающих утечку данных. Комитет также посетил центры обработки данных и центры обработки данных в Индии.
Основные рекомендации комитетаВ отчете, представленном комитетом, отмечены следующие изменения:
- Сроки реализации (пункт 1): Законопроект 2019 года не указывал сроков реализации его положений. . В пересмотренном законопроекте предусматривается, что «приблизительный период в 24 месяца может быть предоставлен для реализации любых и всех положений Закона, чтобы у доверенных лиц и обработчиков данных было достаточно времени для внесения необходимых изменений в свои политики, инфраструктуру, процессы, и т. д.» Рекомендуется, чтобы орган по защите данных начал свою работу в течение шести месяцев, регистрация доверенных лиц данных была произведена в течение девяти месяцев, а апелляционный суд начал свою работу в течение 12 месяцев с даты уведомления.
- Сфера применения (пункт 2): Сфера применения Закона о защите персональных данных была расширена и теперь будет охватывать как личные, так и неличные данные. Законопроект был переименован с «Закон о защите персональных данных» на «Закон о защите данных (Законопроект)». Ожидается, что один и тот же регулятор будет регулировать неперсональные данные и персональные данные, потому что «невозможно провести различие между персональными данными и неличными данными при сборе или передаче массовых данных».
Включение неличных данных, в том числе анонимных данных, в сферу охвата станет дискуссионным и спорным вопросом, главным образом потому, что некоторые из неличных данных будут считаться собственностью предприятий, которые сделали бы крупные инвестиции для сбора этих неличных данных. личные данные.
- Определения (пункт 3): Несколько ключевых терминов были определены, объединены или пересмотрены, в том числе «менеджер по согласию», «аудитор данных», «нарушение данных», «доверенное лицо данных», «обработчик данных», «данные сотрудник по защите», «вред» и «неперсональные данные».
- Обработка персональных данных без согласия (пункты 13 и 14): Обработка неконфиденциальных персональных данных в целях трудоустройства теперь включает сценарии, когда «такая обработка необходима или может быть разумно ожидаема владельцем данных». Законный интерес теперь прямо указывается в качестве основы для обработки персональных данных, если «обработка необходима для разумных целей, которые могут быть указаны в правилах», уравновешивая интересы как принципала данных, так и доверенного лица данных.
- Обработка персональных данных детей (пункт 16): Доверенные лица, занимающиеся исключительно детскими данными, должны зарегистрироваться в DPA. Доверенное лицо данных должно проинформировать ребенка за три месяца до того, как ребенок достигнет совершеннолетия, чтобы он мог снова дать согласие, и доверенное лицо данных должно продолжать предоставлять услуги ребенку, если ребенок не отзовет свое согласие.
Тот факт, что личные данные детей теперь будут обрабатываться для защиты прав ребенка (вместо ранее «наилучших интересов ребенка»), является долгожданным изменением.
- Права пользователя (пункты 17, 19 и 23): Владелец данных теперь сможет воспользоваться своим правом решать, как будут обрабатываться его данные в случае несчастного случая или смерти, назначив законного наследника или представителя . Что касается переносимости данных, коммерческая тайна больше не может быть основанием для отказа в переносимости данных, а перенос данных может быть запрещен только на основании технической возможности, которая должна строго определяться нормативными актами. Доверенное лицо также обязано обеспечивать прозрачность и справедливость алгоритмов и методов обработки персональных данных.
- Отчет о нарушениях (пункт 25): Утечка данных теперь включает утечку как личных, так и неличных данных. Требования к сообщениям о нарушениях более строгие и конкретные. Форма уведомления теперь будет определяться правилами, а не ограничивать объем формы в самом законопроекте. Самое главное, что сроки для сообщения были четко определены: в течение 72 часов после того, как стало известно о нарушении. Было добавлено положение, согласно которому DPA может приказать доверенному лицу принять любые срочные меры для устранения такого нарушения или смягчения любого вреда, причиненного субъекту данных.
- Платформы социальных сетей (пункт 26): Все платформы социальных сетей, не выступающие в качестве посредников, должны рассматриваться как издатели и нести ответственность за размещаемый ими контент. Смысл в том, что такие платформы могут выбирать получателя контента и контролировать доступ к любому контенту, размещенному на их платформе. Эти платформы будут нести ответственность за контент из непроверенных учетных записей на своих платформах и должны будут открыть офис в Индии, если у них его еще нет. Предлагается создать орган по регулированию СМИ для регулирования контента на этих платформах.
Это отходит от Закона об информационных технологиях 2000 г. с поправками к нему 2008 г. и последующими положениями о посредниках, которые защищали посредников от контента, размещаемого третьими лицами.
- Сотрудник по защите данных (пункт 30): Добавлена дополнительная ясность в отношении того, кто может быть DPO. В правительстве DPO должен быть государственным должностным лицом высшего уровня, а в частной компании — ключевым управленческим персоналом, таким как главный исполнительный директор, управляющий директор, финансовый директор, секретарь компании или штатный директор.
- Передача данных (пункт 34): Требования к передаче конфиденциальных и важных персональных данных были дополнительно уточнены. DPA при утверждении контракта или внутригрупповой схемы, разрешающей трансграничную передачу данных, теперь также должно консультироваться с правительством. Контракт или внутригрупповая схема, разрешающая трансграничную передачу данных, не должны утверждаться, если контракт или схема противоречат общественной или государственной политике. Кроме того, такие данные не должны передаваться какому-либо иностранному правительству или агентству, если это не одобрено правительством.
- Исключения из правил (пункт 35): Это позволяет любому учреждению, находящемуся под управлением правительства, быть освобожденным от любых или всех положений закона. Это привело к максимальному количеству несогласных со стороны членов комитета. Чтобы устранить эти опасения, пересмотренный проект предусматривает, что процедура, разрешающая такое исключение, должна быть «справедливой, справедливой, разумной и пропорциональной процедурой».
Однако включение необязательной оговорки имеет преимущественную силу по сравнению с любым другим законом. Как это всеобъемлющее положение уравновешивается правом на неприкосновенность частной жизни, еще предстоит выяснить.
- Песочница (пункт 40): Для поощрения стартапов и инновационной культуры с включением конфиденциальности в дизайн правительство может создать среду песочницы для живого тестирования новых продуктов, технологий и услуг (ранее это было обязательным обязательство). Это поможет малым предприятиям и стартапам соблюдать нормы защиты данных.
- Состав DPA (Статья 42): Состав DPA должен быть инклюзивным, надежным и независимым, состоящим из представителей юридических, технических и академических областей в дополнение к должностным лицам уровня секретаря, при этом общее число членов должно быть не более шести. Правительство определит независимого эксперта по защите данных, информационным технологиям, управлению данными, науке о данных и службам безопасности данных. Генеральный прокурор Индии должен быть членом DPA. Кроме того, в DPA должны быть номинированы один директор из Индийского института менеджмента и один из Индийского технологического института.
- Тестирование и сертификация аппаратных устройств (Статья 49): Поскольку аппаратные устройства, участвующие в сборе и обработке персональных данных, не охватываются PDPB, комитет рекомендовал правительству создать специальные испытательные лаборатории или объекты и создать механизмы для обеспечения официальная сертификация целостности, надежности и безопасности аппаратного и программного обеспечения для всех цифровых устройств и устройств IoT. У человека должна быть возможность сертифицировать свое устройство, и, если устройство не соответствует указанным стандартам безопасности данных, обратиться в DPA, чтобы принять меры против производителя.
- Локализация данных: Обязательно доставлено в Индию в установленные сроки, правительству рекомендуется, по согласованию с заинтересованными отраслевыми регулирующими органами, подготовить и объявить обширную политику по локализации данных.
- Альтернативная финансовая платежная система, ориентированная на конфиденциальность: Местная финансовая система, альтернативная системе Общества всемирных межбанковских финансовых телекоммуникаций, должна стимулировать цифровую экономику и использование в домашнем пространстве и обеспечивать конфиденциальность финансовых транзакций. Цель состоит в том, чтобы уменьшить страх потребителей перед финансовым мошенничеством, поощряя и ускоряя внедрение цифровых платежей потребителями.
Как указано в отчете, некоторые ключевые действия, которые необходимо выполнять поэтапно, включают настройку DPA и другой связанной инфраструктуры. Компании должны принять и построить эффективную стратегию соответствия, сосредоточив внимание на инвестициях и согласовании с людьми, процессами и технологиями в оговоренные сроки. Как правительству, так и частным компаниям необходимо создать специальные программы обучения и повышения осведомленности для обучения рабочей силы и обеспечения своевременного соблюдения требований.
ЗаключениеЗаконопроект о защите данных — долгожданный и крайне необходимый закон, который заменит нынешний архаичный, унаследованный и неэффективный режим защиты данных в Индии. По сравнению с текущими стандартами он поможет защитить права на неприкосновенность частной жизни и будет способствовать справедливому и прозрачному использованию данных для инноваций и роста, открывая доступ к цифровой экономике. Он может создать рабочие места, повысить осведомленность пользователей об их конфиденциальности и обеспечить подотчетность перед доверенными лицами и обработчиками данных.
Частично вдохновленная Общим регламентом ЕС по защите данных, Индия в конечном итоге проложила свой собственный путь к защите данных с несколькими уникальными положениями: объединение личных и неличных данных под одним зонтиком, локализация данных, покрытие аппаратных устройств, управление платформы социальных сетей и многое другое. Хотя в нем все еще есть несколько пробелов, его реализация поставит Индию в один ряд с сильными законами о защите данных других стран.