Изменения в законодательстве о персональных данных в 2019 году: Что меняется в обработке персональных данных с 1 сентября 2022 года — Контур.Экстерн

«Пришло время задуматься о безопасности персональных данных» – Коммерсантъ Уфа

С 1 сентября в России вступили в силу изменения в Федеральном законе №152-ФЗ. Теперь отказ от предоставления персональных данных не может считаться основанием для отказа в продаже товара или оказании услуг, не считая случаев, где это обязательно; документ также запрещает сбор и обработку биометрических данных несовершеннолетних. Новый закон накладывает ряд дополнительных обязанностей и на компании, которые должны сообщать органам власти о случаях утечки информации.
О том, что изменилось в правилах обращения с персональными данными, как бизнесу подготовиться к новым требованиям закона и на что следует обратить особое внимание, рассказал основатель компании Ovodov CyberSecurity Александр Оводов.

Александр Оводов, основатель компании Ovodov CyberSecurity

Александр Оводов, основатель компании Ovodov CyberSecurity

— Расскажите коротко о положениях нового закона.

Кого он затрагивает?

— Изменений достаточно много. Во-первых, изменились условия, которые можно прописывать в договоре с субъектом персональных данных. Согласия должны стать однозначными. Раньше организации регулярно использовали расплывчатые формулировки, теперь же придется указывать конкретно: для каких целей и какие именно данные собираются и как обрабатываются. Кроме того, закон устанавливает ограничения на сбор персональных данных несовершеннолетних лиц с целями, не определенными законодательством.

Второе — предоставление биометрических данных не может быть обязательным, за исключением случаев, когда это требуется по закону. В любой организации, где используется биометрия, необходимо оценить основания для сбора и либо прекратить обработку, либо выполнить требования к использованию биометрических персональных данных, определенные 149-ФЗ, и подключиться к единой биометрической системе.

В-третьих, изменились требования к организациям, которые обрабатывают персональные данные по поручению: это касается бухгалтерского или IT-аутсорсинга, служб по доставке грузов, рекламных или маркетинговых агентств, организаторов деловых поездок, выставок и многих других.

Предпринимателям необходимо пересмотреть договора с такими компаниями, внести в них дополнительные требования по обеспечению безопасности и потребовать подтверждения выполнения мер от партнера.

Следующий пункт касается трансграничной передачи персональной информации. По решению Роскомнадзора такая передача в отдельные страны или организации может быть запрещена. Поэтому сейчас всем организациям, работа которых подразумевает какую-либо передачу персональных данных зарубежным контрагентам, требуется подготовить и подать отдельные уведомления в Роскомнадзор по всем юрисдикциям.

Теперь для каждой цели обработки персональных данных в документах должны быть отражены категории субъектов, состав, действия, сроки обработки персональных данных. Это тоже увеличивает объем документов, как локальных актов, так и политики в отношении обработки персональных данных: она должна обязательно публиковаться на каждой странице сайта, где осуществляется сбор персональных данных. Также разрабатываются методики оценки вреда субъектам персональных данных и методики уничтожения этой информации.

Одно из крупнейших нововведений— обязательное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Оператором системы является Национальный координационный центр по компьютерным инцидентам (НКЦКИ), дочерняя организация ФСБ РФ. Соответственно, в обязательном порядке нужно будет подавать в это ведомство сведения о компьютерных инцидентах, которые повлекли за собой неправомерную передачу, распространение персональных данных, несанкционированный доступ к ним. Если в компании произошла подобная утечка, в течение суток о ней необходимо сообщить также в Роскомнадзор, а в течение трех суток— провести расследование, определить виновных, принять меры к минимизации ущерба и отчитаться.

— Предусмотрен ли переходный период в новом законе о персональных данных? Какие санкции предусмотрены в отношении нарушителей?

— Как такового переходного периода нет, большая часть требований вступила в силу с 1 сентября этого года. Единственное, на что есть отсрочка, — это время, необходимое регуляторам для принятия дополнительных актов.

Штрафы за несоответствие требованиям по персональным данным повысили еще в прошлом году. Более того, уже сейчас в Госдуме рассматривается законопроект о введении оборотных штрафов. В таком случае размер взыскания может составить 1-3% от годовой выручки компании. Как вы понимаете, это могут быть очень существенные суммы.

— Как теперь будет выглядеть алгоритм работы с персональными данными?

— Организациям нужно пересмотреть процессы сбора, оформления и обработки персональных данных, привести в соответствие с новыми требованиями локальные акты. Техническую часть нужно будет доработать в части процессов реагирования на компьютерные инциденты: чтобы сообщить о подобном происшествии в Роскомнадзор и НКЦКИ, вы должны знать не только о самом факте инцидента, но и о его технических подробностях. Если факт утечки придется расследовать, это потребует привлечения технических специалистов, которые есть не во всех организациях. Эти функции, как мы считаем, будут передаваться на аутсорсинг специализированным компаниям.

— Подразумевает ли закон, что предпринимателям придется менять ПО, закупать какое-либо оборудование для соблюдения новых требований? По вашей оценке, в какую сумму может обойтись бизнесу обновление?

— Если ранее организация не построила полноценную систему защиты персональных данных, не провела оценку соответствия требованиям, то сейчас, конечно, потребуются дополнительные вложения. И напротив, если компания и прежде уделяла достаточно внимания антивирусному ПО, межсетевым экранам, средствам обнаружения атак, внедряла средства контроля и предотвращения утечек информации, никаких дополнительных мер реализовывать не придется. По поводу конкретных сумм говорить сложно, потому что масштабы самих организаций несравнимы.

— Могут ли возникнуть проблемы с импортозамещением технических и программных решений средств защиты информации?

— По импортозамещению особых сложностей нет, потому что сейчас на рынке есть российские аналоги практически всех зарубежных средств защиты информации. Наши средства защиты успешно выступают наравне с западными конкурентами даже на международных рынках.

— Какие услуги и решения вы предлагаете компаниям?

— Мы занимаемся защитой персональных данных уже 11 лет и знаем эту сферу вдоль и поперек. Мы выполнили больше 500 проектов по всей России, в совершенно разных компаниях.

Сегодня мы можем предложить клиентам полный комплекс работ по защите персональных данных. Сейчас наиболее актуально провести оценку соответствия процессов обработки и защиты персональных данных на соответствие обновленным требованиям законодательствам, актуализировать организационно-распорядительные и правовые документы по персональным данным и начать обнаруживать компьютерные атаки и утечки персональных данных.

Этот комплекс работ позволит минимизировать вероятность утечки, штрафов или шантажа организации со стороны мошенников. Почему мошенников — представьте себе такую ситуацию: в компанию звонят в пятницу в конце дня, говорят: «У вас произошла утечка, но мы можем это дело замять за скромное вознаграждение».

В любом случае компании придется проверять, действительно ли была утечка, проводить расследование. Для этого нужны специалисты по информационной безопасности и инструменты для расследования компьютерных инцидентов, а у большинства компаний их просто нет, особенно в госсекторе и малом бизнесе.

Именно для компаний, у которых в штате нет специалистов по информационной безопасности, мы предлагаем аутсорсинг всех процессов, связанных с защитой персональных данных и обеспечением выполнения требований законодательства.

Более того, взяв организацию на аутсорсинг, мы берем на себя все риски, связанные с персональными данными, и финансово гарантируем свою ответственность. В случае, если у заказчика произойдет утечка или в ходе контрольно-надзорных мероприятий на организацию наложат штраф — мы компенсируем его в полном объеме. Компенсация штрафов и устранение предписаний за свой счет прописывается в договоре с заказчиком.

— Вы сможете помочь организации, у которой уже произошла утечка?

— Да, у нас есть услуга реагирования на инциденты. В течение двух рабочих часов к инциденту подключаются наши специалисты, проводят расследование, помогают заполнить уведомления и взаимодействовать с Роскомнадзором и НКЦКИ. По результатам расследования разрабатываем план, чтобы подобное не повторялось. Такие действия позволяют минимизировать ущерб, но штраф скорее всего организации придется заплатить.

— Видите ли вы угрозы бизнесу и информационной безопасности, связанные с введением закона?

— Как я уже говорил, есть риск появления мошенников, которые будут играть на этих сроках в 1-3 суток. Появятся вымогатели, которые будут атаковать компании, красть персональные данные и требовать выкуп. По большей части это будет касаться малого и среднего бизнеса, а также госсектора, потому что у них или нет штатных специалистов по информационной безопасности или их недостаточно для обеспечения должного уровня безопасности.

Хочу отметить, что если в компании раньше не уделялось должного внимания обеспечению безопасности персональных данных, то сейчас об этом стоит задуматься. Штрафы уже подняли, более того, они могут быть суммированы, если будут обнаружены нарушения по нескольким статьям. В том, что оборотные штрафы примут, я практически не сомневаюсь: в этом году было много громких утечек, и они продолжаются. На этом фоне бездействие законодателей выглядело бы преступным.

Устранить течь: вступают в силу масштабные изменения о персональных данных | Статьи

Борьба с утечкой данных обрела новые законодательные рамки. У Роскомнадзора появилось больше поводов для штрафа, у бизнеса — больше обязанностей по защите клиентских данных, а у пользователей — больше причин, чтобы не сообщать о себе ничего. Согласно новым правилам, компании должны информировать ФСБ об утечках, а пользователь может и вовсе отказать в обработке своих данных и получить те же услуги, что и обычно. Проблема в том, что сами компании, включая госсектор, не всегда знают, какая информация является персональной. Подробнее — в материале «Известий».

В курсе обработки

С сентября 2022 года вступают в силу поправки в 152-ФЗ «О персональных данных». Масштабные изменения коснутся всех, кто может считаться оператором данных — работодателей, интернет-магазинов, медклиник, небольших фотомастерских и крупных корпораций.

Ключевым нововведением является требование уведомлять Роскомнадзор об обработке персональных данных. Прежде существовала масса исключений, которые позволяли этого не делать. Например, если информация о физлице включала только его ФИО, если требовалось оформить разовый пропуск для входа на территорию или речь шла об обработке данных по трудовому законодательству — в этих случаях в ведомство можно было не сообщать.

Редкие исключения тем не менее остались, прежде всего они касаются государственной и транспортной безопасности.

— Еще одно исключение относится к обработке персональных данных без использования цифровых технологий. Это применимо для отдельных процессов обработки данных, осуществляемых только на бумажных носителях, — отметил руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев.

Устранить течь

Фото: ИЗВЕСТИЯ/Александр Казаков

Защита данных от утечки

Основные изменения в законодательстве касаются защиты данных, отмечает руководитель департамента цифровых решений агентства «Полилог», разработчик Polycode Людмила Богатырева.

— В последние месяцы утечки персональных данных стали носить массовый характер. По информации Роскомнадзора, с начала 2022-го произошло более 40 крупных утечек баз персональных данных, скомпрометировано 300 млн записей, — привела статистику эксперт.

По новым правилам, если у оператора случилась утечка из-за компьютерного инцидента, он обязан сообщить о ней в систему ФСБ России по обнаружению, предупреждению и ликвидации последствий компьютерных атак (ГосСОПКА). В остальных случаях при утечке потребуется уведомить Роскомнадзор и провести внутреннее расследование с выявлением виновников, поясняет Людмила Богатырева. Об утечке нужно сообщить в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования.

Преимущество поправок не столько в ускорении расследования, сколько в том, что оно в принципе становится обязательным, говорит руководитель отдела аналитики «СерчИнформ» Алексей Парфентьев. Однако, по его словам, для реального расследования нужны серьезные инструменты: системы аудита хранения данных, контроля утечек, мониторинга угроз в ИТ-инфраструктуре.

— По нашим данным, такими системами оснащены самое большее треть российских компаний. А их единовременная закупка, включая оборудование, необходимое для передачи отчетов — большая финансовая нагрузка. Таким образом, качественно выполнить нормативы смогут те, кто уже этим занимается. Для других компаний срок в три дня будет казаться маленьким, особенно для расследования внешних кибератак. Поэтому появляется риск формальных отчетов, — прогнозирует собеседник «Известий».

Устранить течь

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Другая проблема в том, что риск замалчивания инцидентов по факту не снижается. По словам Алексея Парфентьева, большинство компаний просто не знают, что являются операторами персональных данных и должны выполнять какие-то требования по их защите, тем более расследовать их утечки.

— Мы проводили исследование среди госслужащих и выяснили, что больше половины из них не знают, какая информация относится к ПДн! Другой наглядный пример: в Реестре операторов ПДн, который ведет Роскомнадзор, зарегистрированы 445 845 компаний, в то время как в России действуют 3,44 млн юрлиц (данные ЕГРЮЛ за 2020 г., без учета ИП и самозанятых), которые так или иначе имеют дело с персональными данными — хотя бы собственных сотрудников. Это также значит, что напрямую в поле зрения регулятора попадает только десятая часть реальных операторов данных, — рассказал эксперт «СерчИнформ».

Станут ли безопаснее облачные сервисы

Другая важная мера: если компания передает обработку данных специальному оператору («процессору»), все обязанности по их защите ложатся именно на него. Данные изменения актуальны для поставщиков облачных сервисов и SaaS (PaaS) решений.

«Процессоры» и раньше должны были защищать персональные данные. Однако прежде, так как не было жестко прописанных требований, рынок толковал такие сервисы по-разному, из-за чего некоторые компании считали возможным выполнять только ряд требований. Сейчас поправки убрали эту неопределенность, пояснила «Известиям» руководитель групп аналитики, аудита и техподдержки ИБ компании «Крок» Анастасия Федорова. Плюс новые положения закона позволяют операторам дополнительно контролировать действия «процессоров».

Устранить течь

Фото: РИА Новости/Александр Кряжев

— Мы получаем принцип двойного контроля, не только со стороны государства, но и со стороны оператора. Поэтому теперь при выборе поставщика облачных услуг необходимо будет обращать внимание и оценивать, насколько добросовестно он выполняет свои обязательства по защите персданных. На 100% это требование не снизит риск утечек, но уровень доверия к облачному провайдеру увеличивает в разы, — считает специалист.

По наблюдению Алексея Парфентьева, мера явно заимствованная из GDPR (европейского регламента защиты данных) и однозначно положительная, так как делает прозрачнее процессы оборота ПДн.

— Если какое-либо облако, SaaS или PaaS-поставщик не готовы выполнять такие условия, они просто не подпишут контракт, — полагает собеседник.

Ответственность за утечки

Несмотря на значительные изменения ФЗ «О персональных данных», ответственность операторов, предусмотренная ст. 13.11 КоАП РФ, не изменилась, подчеркивает Владимир Ожерельев. Как правило, речь идет о небольших штрафах, едва ли поучительных для крупных операторов. В настоящее время прорабатываются новые санкции за утечку данных, отметил юрист.

В частности, Людмила Богатырева рассказала, что активно обсуждается введение оборотных штрафов за нарушение сохранности данных. Размер таких штрафов будет напрямую зависеть от выручки компании.

Устранить течь

Фото: ТАСС/Александр Рюмин

Прежде чем вводить оборотные штрафы, неплохо было бы поработать над прозрачностью законодательства о персональных данных, простотой его применения, неотвратимостью наказания, гражданско-правовыми возможностями субъекта персональных данных, говорит руководитель отдела информационной безопасности компании «Инфобип» Денис Лукаш.

— К сожалению, не видно, что такие вопросы поднимаются. Если у предпринимателей нет возможности на это повлиять, тогда хотелось бы иметь возможность рассматривать или оспаривать оборотные штрафы в арбитражном суде, — указал он.

Вопреки отказу

С 1 сентября у обычных пользователей появляется больше прав, относительно своих же данных. Теперь операторы обязаны предоставить услуги, даже если клиенты отказываются предоставить биометрию и не дают согласие на обработку личной информации. К биометрических сведениям относятся отпечатки пальцев, изображение лица, голос, радужная оболочка глаза. Допустим, если кадровик собирает фото для пропусков, а работник отказывается его давать, первый не имеет права не оформить пропуск.

То же самое в торговле — продавец не вправе требовать от покупателя персональные данные как при покупке, так и при возврате предмета. Например, если товар оказался бракованным или не подошел, клиент может не показывать паспорт при оформлении возврата.

Устранить течь

Фото: Global Look Press/picture alliance/Robert Schlesinger

Обычное соглашение, которое обычно дают пользователи на обработку данных, также попало в поле зрение законодателей. Теперь бездействие субъекта, в частности, его молчание, отсутствие ответа на протяжении какого-то времени больше нельзя считать согласием.

Помимо этого, пользователи получили право запросить у оператора информацию о том, какие именно данные есть у компании, и потребовать прекратить их обработку. Сроки реагирования на такие запросы сокращены с 30 до 10 рабочих дней.

— Из заметных несостыковок новых поправок можно отметить норму о том, что согласие на обработку персональных данных может предоставляться в случае, когда согласие является обязательным в силу закона. При этом обработка персональных данных в силу закона является отдельным основанием их обработки, которая не требует наличия согласия, — заключил юрист Владимир Ожерельев.

GDPR, CCPA и последующие: изменения в законах о конфиденциальности данных и риски правоприменения, которые необходимо отслеживать в 2019 г.

Следите за дополнительными сообщениями о CCPA.

В связи со значительной правоприменительной деятельностью и принятием или предложением новых законов с начала года регулирующие органы в ЕС и США, нескольких штатах США и Конгресс США демонстрируют серьезное отношение к конфиденциальности данных.

Чтобы помочь компаниям наилучшим образом защитить данные потребителей и устранить риски правоприменения, мы представляем ниже обзор следующего:

1. два заслуживающих внимания недавних правоприменительных действия регулирующих органов ЕС и США;
2. изменения в законодательстве штата США о конфиденциальности данных, включая предложение Генеральной прокуратуры Калифорнии о расширении правоприменительных полномочий и коллективных исков в соответствии с Законом Калифорнии о конфиденциальности потребителей; и
3. Рассмотрение Конгрессом США первого всеобъемлющего федерального закона США о конфиденциальности.

Регулирующие органы ЕС и США продолжают повышать ставки в обеспечении соблюдения конфиденциальности данных

21 января 2019 г. в качестве одного из самых крупных штрафов за конфиденциальность, объявленных в мире, Французская национальная комиссия по защите данных (CNIL) наложила штраф в размере 50 миллионов евро на технологического гиганта за нарушение Общего регламента по защите данных (GDPR). За этим последовали сообщения прессы в феврале о том, что Федеральная торговая комиссия США (FTC) в настоящее время ведет переговоры о многомиллиардном штрафе против гиганта социальных сетей, чтобы урегулировать расследование агентства в отношении его практики конфиденциальности. На сегодняшний день самым крупным штрафом, наложенным FTC на технологического гиганта за нарушение соглашения с правительством о защите данных потребителей, был штраф в размере 22,5 млн долларов США в 2012 году9.0005

В частности, правоприменительные действия CNIL были сосредоточены на требованиях GDPR к прозрачности и согласию и содержат полезные советы для компаний, которые ищут руководство по разработке политик конфиденциальности и галочек для согласия (нажмите здесь, чтобы ознакомиться с нашим предыдущим обзором многомиллионных евро прекрасные и ключевые выводы).

Расследование Федеральной торговой комиссии США началось сразу после скандала с Cambridge Analytica, в котором основное внимание уделялось контролю, который должна иметь компания в отношении того, как ее данные передаются и используются третьими лицами. Однако полный объем расследования еще не опубликован, но, вероятно, будет включать более широкий обзор методов и практики обработки данных компании, в том числе того, как компания использует данные, которые она собирает от своих участников.

Эти действия CNIL и FTC сигнализируют о том, что риск нарушения конфиденциальности данных теперь является одним из главных рисков, которые компания должна учитывать в рамках своей системы управления рисками предприятия.

Законы CCPA и CCPA о копировании в США могут привлечь более пристальное внимание к нарушениям конфиденциальности в США

Несколько штатов США после принятия GDPR в мае прошлого года предлагают свои собственные законы о защите данных, которые обеспечивают определенные права потребителей, подобные GDPR. Однако подход штатов США имеет ключевые отличия, заслуживающие внимания для компаний, работающих в США.

Калифорнийский закон о конфиденциальности потребителей (CCPA), принятый в июне 2018 года в ответ на скандал с Cambridge Analytica, должен стать самым всеобъемлющим законом о конфиденциальности данных в США. Закон вступает в силу 1 января 2020 года и, как и GDPR, предоставляет потребителям определенные права, в том числе «Право знать», «Право на доступ», «Право на отказ» и «Право на удаление». Кроме того, CCPA значительно расширяет определение личной информации, поэтому то, как эти права будут применяться на практике, требует значительных изменений в работе компаний. Закон, в отличие от любого другого ранее принятого закона о защите данных, также требует ссылки на отказ на веб-сайте компаний, чтобы позволить потребителям отказаться от передачи данных третьим лицам. Закон разрешает частное право на иск в случае утечки данных и позволяет налагать административные штрафы генеральным прокурором Калифорнии в размере до 7500 долларов США за нарушение без ограничения максимальной суммы (нажмите здесь, чтобы ознакомиться с ключевыми требованиями CCPA).

Теперь у компаний есть меньше года, чтобы внедрить программы соответствия CCPA, и тем не менее законодательный орган Калифорнии продолжает свои усилия по внесению поправок в закон, увеличивая неопределенность для бизнеса. 22 февраля генеральный прокурор Калифорнии Ксавьер Бесерра и сенатор Ханна-Бет Джексон представили закон, усиливающий и разъясняющий CCPA. Среди прочего, законопроект: (1) больше не требует от Генеральной прокуратуры предоставления компаниям и частным лицам индивидуальных рекомендаций по соблюдению CCPA; (2) удалить формулировку, которая ранее позволяла компаниям устранять нарушения CCPA до того, как AG возбудит принудительное действие; и (3) предоставить потребителям частное право искать средства правовой защиты от любых нарушений их прав CCPA, не ограничиваясь только утечкой данных. Если это предложение будет принято, это еще больше расширит возможности AG по возбуждению принудительных действий и значительно увеличит количество коллективных исков в Калифорнии.

Чтобы не отставать от Калифорнии, одиннадцать (11) штатов, включая Мэриленд, Нью-Джерси и Вашингтон, недавно приняли аналогичное законодательство. Среди прочего, законопроекты включают свои собственные версии прав на отказ и требуют новых требований к раскрытию информации, которые немного отличаются от GDPR и CCPA. В случае принятия эти законы повлекут за собой значительные затраты для предприятий, поскольку они пытаются понять и внедрить систему обеспечения конфиденциальности, которая соответствовала бы этому лоскутному одеялу из законов США и других стран, требования которых часто совпадают и противоречат друг другу. На самом деле, уровень сложности и неопределенности, вызванный этими различными изменениями в правовой среде, побуждает бизнес призывать Конгресс США вмешаться и внедрить национальное всеобъемлющее законодательство о конфиденциальности данных.

Реакция Конгресса США на действия регулятора и штата в отношении конфиденциальности данных

В ответ на усиление правоприменительных мер и активность штатов США 116 ^th Конгресс США представил несколько законопроектов о конфиденциальности данных для реализации федерального стандарта конфиденциальности данных в США. Например, Американский закон о распространении данных (статья 142) «устанавливает требования конфиденциальности для поставщиков интернет-услуг, аналогичные требованиям, предъявляемым к федеральным агентствам в соответствии с Законом о конфиденциальности от 1974”. Закон о защите конфиденциальности в социальных сетях и правах потребителей от 2019 г. (статья 189), среди прочего, требует, чтобы подпадающие под действие субъектов «(1) предлагали пользователю копию персональных данных пользователя, обработанных оператором, без платно, так и в электронном формате; и (2) уведомить пользователя в течение 72 часов после того, как ему стало известно, что данные пользователя были переданы с нарушением платформы безопасности».

Действительно, даже Счетная палата правительства США — федеральное законодательное агентство, которое предоставляет Конгрессу услуги по аудиту, оценке и расследованию — рекомендует Конгрессу США принять федеральный закон о конфиденциальности данных, заявляя, что «недавние события в отношении конфиденциальности в Интернете предполагают, что Конгрессу пора рассмотреть всеобъемлющее законодательство о конфиденциальности в Интернете». ^[1]

Если Конгресс США примет федеральный закон о конфиденциальности данных, он станет первым в истории федеральным стандартом конфиденциальности с обещанием единообразия и последовательности в том, что в противном случае было бы лоскутным одеялом из законов штатов и нормативных стандартов.

На этой неделе Комитет Палаты представителей по энергетике и торговле и Комитет Сената по торговле проводят слушания по ключевым вопросам, которые должно решить федеральное законодательство о конфиденциальности. Мы предоставим обновленную информацию о двух слушаниях комитета здесь.

Наш взгляд

Недавние правоприменительные меры со стороны регулирующих органов ЕС и США и активные законодательные изменения на уровне штатов и федеральном уровне в США означают, что риски конфиденциальности данных должны быть одним из основных рисков, управляемых компаниями в рамках системы управления корпоративными рисками. Поскольку GDPR, CCPA и другие законодательные предложения штатов и США вводят новые и разные требования к сбору, обработке, обмену и хранению персональных данных, компаниям следует проводить оценку пробелов не реже одного раза в год, чтобы выявлять любую коммерческую деятельность, которая не соответствует требованиям. -соблюдение или представляют высокий риск для компании.

В результате особых требований в рамках CCPA, например, предприятиям, у которых есть сотрудники или клиенты в Калифорнии, следует рассмотреть возможность добавления следующего в свои планы проектов соответствия на 2019 г.:

• просмотреть и пересмотреть свою Политику конфиденциальности веб-сайта, чтобы соответствовать новым требованиям раскрытия данных, согласия и отказа;
• рассмотреть, пересмотреть и провести обучение для нового Уведомления о конфиденциальности сотрудников, которое соответствует CCPA;
• разработать и внедрить новые процессы и обучить ключевые внутренние команды, которые будут принимать и реагировать на запросы и жалобы в отношении конфиденциальности;
• рассмотреть и протестировать планы реагирования на инциденты, которые подготовят организацию к эффективному реагированию в случае утечки данных; и
• пересмотреть и внедрить основные соглашения об обслуживании с ограничениями на использование данных поставщиками услуг, которые требуются в соответствии с CCPA.

---

Другие наши статьи CCPA

Статья 1: Краткое изложение основных положений CCPA

Статья 2: Юридические лица, подпадающие под действие CCPA

Статья 3: определение личной информации CCPA

Статья 4: Требования к раскрытию информации CCPA

Статья 5: CCPA «Право на удаление»

Статья 6: Генеральная прокуратура Калифорнии начинает процесс нормотворчества CCPA с первого публичного слушания, пока Конгресс обсуждает новый федеральный закон о конфиденциальности

Статья 7: Комментарии на общественном форуме CCPA в Лос-Анджелесе подчеркивают напряженность между бизнесом и группами по защите прав потребителей

Статья 8: GDPR, CCPA и последующие: изменения в законах о конфиденциальности данных и риски правоприменения, которые необходимо отслеживать в 2019 году

Статья 9: CCPA: «Поправка Генерального прокурора», вероятно, мертва

Статья 10: Невада, Нью-Йорк и другие штаты следуют Калифорнийскому закону CCPA

.

Статья 11: «Что готовится» в Сакраменто: внесены поправки в законопроект CCPA об «исключениях для сотрудников»; расширено исключение «общедоступной информации» и уточнены права доступа потребителей

Статья 12: Снова за столом переговоров: обсуждение поправок к CCPA продолжается

Статья 13: Начинается обратный отсчет месяца до принятия поправок к CCPA

Статья 14: CCPA: «Поживем-увидим» — неправильный подход

Статья 15: И затем их было пять: поправки к CCPA принимаются законодательным органом

Статья 16: Отказ от микрофона: California AG выпускает долгожданный свод правил CCPA

Статья 17: Губернатор Калифорнии подписывает все 5 поправок к CCPA

Статья 18: И снова: еще одно голосование за CCPA в 2020 году

Статья 19: Новогодние решения офицеров по обеспечению конфиденциальности

Статья 20: Состояние страны: CCPA и далее в 2020 г.

 

---

[1] Отчет GAO США: КОНФИДЕНЦИАЛЬНОСТЬ В ИНТЕРНЕТЕ: дополнительный федеральный орган может усилить защиту прав потребителей и обеспечить гибкость, GAO-19-52: опубликовано: 15 января 2019 г. Публичная публикация: 13 февраля 2019 г.

Предлагаемые изменения к законопроекту о защите (персональных) данных Индии

16 декабря 2021 г. Объединенный парламентский комитет представил свой долгожданный отчет в парламент Индии после двухлетнего обсуждения законопроекта о защите персональных данных от 2019 г.. Мы надеемся, что это кульминация серии расширений, предоставленных JPC, и проложит путь к сильному закону о защите данных в крупнейшей в мире демократии.

Пройденный путь: в 2017 году Верховный суд Индии (высший судебный орган Индии) объявил право на неприкосновенность частной жизни основным правом, защищенным Конституцией Индии. Он также рекомендовал центральному правительству Индии ввести в действие режим защиты данных, учитывающий интересы отдельных лиц, а также законные интересы государства и способствующий созданию условий для предпринимательства и инноваций. В том же году правительство назначило экспертную комиссию во главе с бывшим судьей Верховного суда судьей Б. Н. Шрикришна разработать законопроект о защите персональных данных, который «обеспечит рост цифровой экономики при сохранении безопасности и защиты личных данных граждан». Комитет экспертов представил свой отчет вместе с законопроектом о защите данных в июле 2018 г. Затем правительство создало СПК для рассмотрения PDPB9.0005

Комитет консультировался с различными заинтересованными сторонами, такими как отраслевые и регулирующие органы и поставщики услуг. Сюда входят Министерство электроники и информационных технологий, Резервный банк Индии, Совет по ценным бумагам и биржам Индии, Национальная платежная корпорация Индии, Департамент подоходного налога, Управление уникальной идентификации Индии, Национальная ассоциация компаний-разработчиков программного обеспечения и услуг, крупные игроки в социальных сетях. , юридические фирмы и другие. Цель состояла в том, чтобы понять, как личные и конфиденциальные данные обрабатываются в режиме реального времени с применением реальных мер защиты данных, предотвращающих утечку данных. Комитет также посетил центры обработки данных и центры обработки данных в Индии.

Ключевые рекомендации комитета

В отчете, представленном комитетом, отмечены следующие изменения:

• Сроки реализации (пункт 1): Законопроект 2019 года не указывал сроков реализации его положений. . В пересмотренном законопроекте предусматривается, что «приблизительный период в 24 месяца может быть предоставлен для реализации любых и всех положений Закона, чтобы у доверенных лиц и обработчиков данных было достаточно времени для внесения необходимых изменений в свои политики, инфраструктуру, процессы, так далее.» Рекомендуется, чтобы орган по защите данных начал свою работу в течение шести месяцев, регистрация доверенных лиц была произведена в течение девяти месяцев, а апелляционный суд начал свою работу в течение 12 месяцев с даты уведомления.
• Сфера применения (пункт 2): Сфера применения Закона о защите персональных данных была расширена и теперь будет охватывать как личные, так и неличные данные. Законопроект был переименован с «Закон о защите персональных данных» на «Закон о защите данных (Законопроект)». Ожидается, что один и тот же регулятор будет регулировать неперсональные данные и персональные данные, потому что «невозможно провести различие между персональными данными и неличными данными при сборе или передаче массовых данных».

Включение неличных данных, в том числе анонимных данных, в сферу охвата станет дискуссионным и спорным вопросом, главным образом потому, что некоторые из неличных данных будут считаться собственностью предприятий, которые вложили бы значительные средства для сбора этих неличных данных. личные данные.

• Определения (пункт 3): Определены, объединены или пересмотрены несколько ключевых терминов, в том числе «менеджер по согласию», «аудитор данных», «нарушение данных», «доверенное лицо данных», «обработчик данных», «данные сотрудник по защите», «вред» и «неперсональные данные».
• Обработка персональных данных без согласия (пункты 13 и 14): Обработка неконфиденциальных персональных данных в целях трудоустройства теперь включает сценарии, когда «такая обработка необходима или может быть разумно ожидаема владельцем данных». Законный интерес теперь прямо указывается в качестве основы для обработки персональных данных, если «обработка необходима для разумных целей, которые могут быть указаны в правилах», уравновешивая интересы как принципала данных, так и доверенного лица данных.
• Обработка персональных данных детей (пункт 16):  Доверенные лица, занимающиеся исключительно детскими данными, должны зарегистрироваться в DPA. Доверенное лицо данных должно проинформировать ребенка за три месяца до того, как ребенок достигнет совершеннолетия, чтобы он мог снова дать согласие, и доверенное лицо данных должно продолжать предоставлять услуги ребенку, если ребенок не отзовет свое согласие.

Тот факт, что личные данные детей теперь будут обрабатываться для защиты прав ребенка (вместо ранее «наилучших интересов ребенка»), является долгожданным изменением.

• Права пользователя (пункты 17, 19 и 23): Владелец данных теперь сможет воспользоваться своим правом решать, как будут обрабатываться его данные в случае несчастного случая или смерти, назначив законного наследника или представителя . Что касается переносимости данных, коммерческая тайна больше не может быть основанием для отказа в переносимости данных, а перенос данных может быть запрещен только на основании технической возможности, которая должна строго определяться нормативными актами. Доверенное лицо также обязано обеспечивать прозрачность и справедливость алгоритмов и методов обработки персональных данных.
• Отчет о нарушениях (пункт 25): Утечка данных теперь включает утечку как личных, так и неличных данных. Требования к сообщениям о нарушениях более строгие и конкретные. Форма уведомления теперь будет определяться правилами, а не ограничивать объем формы в самом законопроекте. Самое главное, что сроки для сообщения были четко определены: в течение 72 часов после того, как стало известно о нарушении. Было добавлено положение, согласно которому DPA может приказать доверенному лицу принять любые срочные меры для устранения такого нарушения или смягчения любого вреда, причиненного субъекту данных.
• Платформы социальных сетей (пункт 26):  Все платформы социальных сетей, не выступающие в качестве посредников, должны рассматриваться как издатели и нести ответственность за размещенный на них контент. Смысл в том, что такие платформы могут выбирать получателя контента и контролировать доступ к любому контенту, размещенному на их платформе. Эти платформы будут нести ответственность за контент из непроверенных учетных записей на своих платформах и должны будут открыть офис в Индии, если у них его еще нет. Предлагается создать орган по регулированию СМИ для регулирования контента на этих платформах.

Это отходит от Закона об информационных технологиях 2000 г. с поправками к нему 2008 г. и последующими положениями о посредниках, которые защищали посредников от контента, размещаемого третьими лицами.

• Сотрудник по защите данных (пункт 30): Добавлена ​​дополнительная ясность в отношении того, кто может быть DPO. В правительстве DPO должен быть государственным должностным лицом высшего уровня, а в частной компании — ключевым управленческим персоналом, таким как главный исполнительный директор, управляющий директор, финансовый директор, секретарь компании или штатный директор.
• Передача данных (пункт 34): Требования к передаче конфиденциальных и важных персональных данных были дополнительно уточнены. DPA при утверждении контракта или внутригрупповой схемы, разрешающей трансграничную передачу данных, теперь также должно консультироваться с правительством. Контракт или внутригрупповая схема, разрешающая трансграничную передачу данных, не должны утверждаться, если контракт или схема противоречат общественной или государственной политике. Кроме того, такие данные не должны передаваться какому-либо иностранному правительству или агентству, если это не одобрено правительством.
• Исключения из правил (пункт 35):  Это позволяет любому учреждению, находящемуся под управлением правительства, быть освобожденным от любых или всех положений закона. Это привело к максимальному количеству несогласных со стороны членов комитета. Чтобы устранить эти опасения, пересмотренный проект предусматривает, что процедура, разрешающая такое исключение, должна быть «справедливой, справедливой, разумной и пропорциональной процедурой».

Однако включение необязательной оговорки имеет преимущественную силу по сравнению с любым другим законом. Как это всеобъемлющее положение уравновешивается правом на неприкосновенность частной жизни, еще предстоит выяснить.

• Песочница (пункт 40): Для поощрения стартапов и инновационной культуры с включением конфиденциальности в дизайн правительство может создать среду песочницы для живого тестирования новых продуктов, технологий и услуг (ранее это было обязательным обязательство). Это поможет малым предприятиям и стартапам соблюдать нормы защиты данных.
• Состав DPA (Статья 42):  Состав DPA должен быть инклюзивным, надежным и независимым, состоящим из представителей юридических, технических и академических областей в дополнение к должностным лицам уровня секретаря, при этом общее число членов должно быть не более шести. Правительство определит независимого эксперта по защите данных, информационным технологиям, управлению данными, науке о данных и службам безопасности данных. Генеральный прокурор Индии должен быть членом DPA. Кроме того, в DPA должны быть номинированы один директор из Индийского института менеджмента и один из Индийского технологического института.
• Тестирование и сертификация аппаратных устройств (Статья 49): Поскольку аппаратные устройства, участвующие в сборе и обработке персональных данных, не охватываются PDPB, комитет рекомендовал правительству создать специальные испытательные лаборатории или объекты и создать механизмы для обеспечения официальная сертификация целостности, надежности и безопасности аппаратного и программного обеспечения для всех цифровых устройств и устройств IoT. У человека должна быть возможность сертифицировать свое устройство, и, если устройство не соответствует указанным стандартам безопасности данных, обратиться в DPA, чтобы принять меры против производителя.
• Локализация данных: Обязательно доставлено в Индию в установленные сроки, правительству рекомендуется, по согласованию с заинтересованными отраслевыми регулирующими органами, подготовить и объявить обширную политику по локализации данных.
• Альтернативная финансовая платежная система, ориентированная на конфиденциальность: Местная финансовая система, альтернативная системе Общества всемирных межбанковских финансовых телекоммуникаций, должна стимулировать цифровую экономику и использование в домашнем пространстве и обеспечивать конфиденциальность финансовых транзакций. Цель состоит в том, чтобы уменьшить страх потребителей перед финансовым мошенничеством, поощряя и ускоряя внедрение цифровых платежей потребителями.

Взгляд на реализацию

Как указано в отчете, некоторые ключевые действия, которые необходимо выполнять поэтапно, включают настройку DPA и другой связанной инфраструктуры. Компании должны принять и построить эффективную стратегию соответствия, сосредоточив внимание на инвестициях и согласовании с людьми, процессами и технологиями в оговоренные сроки. Как правительству, так и частным компаниям необходимо создать специальные программы обучения и повышения осведомленности для обучения рабочей силы и обеспечения своевременного соблюдения требований.

Заключение

Законопроект о защите данных — долгожданный и крайне необходимый закон, который заменит нынешний архаичный, устаревший и неэффективный режим защиты данных в Индии. По сравнению с текущими стандартами он поможет защитить права на неприкосновенность частной жизни и будет способствовать справедливому и прозрачному использованию данных для инноваций и роста, открывая доступ к цифровой экономике. Он может создать рабочие места, повысить осведомленность пользователей об их конфиденциальности и обеспечить подотчетность перед доверенными лицами и обработчиками данных.

Частично вдохновленная Общим регламентом ЕС по защите данных, Индия в конечном итоге проложила свой собственный путь к защите данных с несколькими уникальными положениями: объединение личных и неличных данных под одним зонтиком, локализация данных, охват аппаратных устройств, управление платформы социальных сетей и многое другое. Хотя в нем все еще есть несколько пробелов, его реализация поставит Индию в один ряд с сильными законами о защите данных других стран.