На обработку персональных данных закон: Как закон обеспечивает сохранность персональных данных россиян

О персональных данных. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022)

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят
Государственной Думой
8 июля 2006 года

Одобрен
Советом Федерации
14 июля 2006 года

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

Статья 2. Цель настоящего Федерального закона

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Статья 4. Законодательство Российской Федерации в области персональных данных

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных

Статья 6. Условия обработки персональных данных

Статья 7. Конфиденциальность персональных данных

Статья 8. Общедоступные источники персональных данных

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Статья 10. Специальные категории персональных данных

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Статья 11. Биометрические персональные данные

Статья 12. Трансграничная передача персональных данных

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Статья 17. Право на обжалование действий или бездействия оператора

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

Статья 22. Уведомление об обработке персональных данных

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

Глава 5. ФЕДЕРАЛЬНЫЙ ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ (НАДЗОР) ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 25. Заключительные положения

Задайте вопрос юристу:

+7 (499) 703-46-71 — для жителей Москвы и Московской области
+7 (812) 309-95-68 — для жителей Санкт-Петербурга и Ленинградской области

Дент Арт — требуется ли согласие на обработку персональных данных от клиента

Требуется ли согласие на обработку персональных данных от клиента, самостоятельно обратившегося с заявлением на сайт компании?

На сайте организации предусмотрен раздел «Обратная связь», в котором клиенты могут задать интересующие вопросы по работе организации (в том числе направить жалобу). При этом форма обращения клиента, заполняемая on-line, содержит поля для указания клиентом его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты).

Согласно ст. 9 Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

Правомерно ли получение согласия клиента на обработку его персональных данных посредством проставления клиентом отметки в соответствующем поле, содержащем текст согласия на обработку персональных данных, формы обращения на интернет-странице?

Требуется ли вообще получение от него согласия на обработку персональных данных, поскольку клиент организации самостоятельно обращается с заявлением?

Случаи допустимости обработки персональных данных перечислены в ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ). В частности, обработка персональных данных признается допустимой в случаях, когда она:

— осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

— необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п.п. 1, 2, 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Напомним, что под обработкой персональных данных для целей Закона N 152-ФЗ понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без

использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ). Частью 1 ст. 9 Закона N 152-ФЗ определено, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Часть 4 той же статьи предусматривает, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. В той же норме перечислены сведения, которые в обязательном порядке должно содержать согласие субъекта персональных данных на их обработку. Из системного толкования норм ч. 1 и 4 ст. 9 Закона N 152-ФЗ можно сделать вывод о том, что оператор должен получить письменное согласие субъекта персональных данных на их обработку, включающее сведения, предусмотренные ч. 4 ст. 9 этого федерального закона только в случаях, когда федеральный закон прямо указывает на необходимость получения согласия именно в такой форме. К примеру, согласие в письменной форме требуется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона N 152-ФЗ), биометрических персональных данных (ч. 1 ст. 11 Закона N 152-ФЗ), на трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п. 1 ч. 4 ст. 12 Закона N 152-ФЗ). В остальных случаях согласие на обработку персональных данных может быть дано в любой форме в соответствии с правилом ч. 1 ст. 9 Закона N 152-ФЗ.

Из вопроса не следует, что речь идет об обработке персональных данных, требующей получения согласия субъекта персональных данных именно в письменной форме. Поэтому согласие может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Если технология заполнения размещенной на сайте формы запроса обеспечивает сохранность сведений о получении согласия (позволяет подтвердить его получение), то, на наш взгляд, такое согласие получено в надлежащей форме.

Следует учитывать, что в случае спора обязанность представления доказательств получения такого согласия возлагается на оператора (ч. 3 ст. 9 Закона N 152-ФЗ).

В рассматриваемом случае, как мы поняли из вопроса, обработка персональных данных заключается в их сборе, накоплении и использовании в целях информирования клиента об организации, оказываемых ею услугах и в соответствующих случаях об исполнении заключенного с клиентом договора. При этом избранный организацией способ коммуникации (размещенная на сайте форма запроса) с учетом информации о его назначении, которая доводится до клиента, позволяет клиенту исходя из обычного уровня понимания определить способы и цели обработки его персональных данных и путем заполнения и отправки запроса в электронном виде дать осознанное согласие на такую обработку персональных данных.

Поэтому мы полагаем, что размещение дополнительной формы согласия на обработку персональных данных организации в этом случае не требуется, если обработка не выходит за рамки тех целей, которые заявлены организацией (для дачи ответа на сформулированный клиентом запрос). Если персональные данные будут обрабатываться не только в связи с предоставлением клиенту интересующей его информации, относящейся к сфере деятельности организации, но и для других целей, такая обработка потребует дополнительного согласия субъекта персональных данных, при отсутствии предусмотренных законом обстоятельств, когда оператор не обязан получать такое согласие (например, в силу п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).

Косвенно этот вывод можно подтвердить судебной практикой. В постановлении от 13.12.2010 N Ф07-13220/2010 ФАС Северо-Западного округа указал применительно к рассмотренной им ситуации, что, отправив свои данные по алгоритму заполнения анкеты-запроса на получение ипотечного кредита, форма которой была размещена на веб-ресурсе, физические лица — потенциальные клиенты фактически выразили свое согласие на обработку своих персональных данных для определенных в анкете целей.

Кроме того, на наш взгляд, обработка персональных данных в этой ситуации может быть соотнесена с положением п. 2 ч. 1 ст. 6 Закона N 152-ФЗ, в соответствии с которым такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

Так, если на отношения клиента и организации распространяется действие Закона РФ от 07.02.1992 N 2300-I «О защите прав потребителей» (далее также — Закон о защите прав потребителей), следует иметь в виду, что пункт 1 ст. 8 этого закона наделяет потребителя (гражданина, имеющего намерение заказать или приобрести либо заказывающего, приобретающего или использующего товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности — смотрите преамбулу к данному закону) правом требовать предоставления ему необходимой и достоверной информации об изготовителе (исполнителе, продавце), режиме его работы и реализуемых им товарах (работах, услугах). Закон о защите прав потребителей в ряде случаев предписывает определенные способы информирования потребителя (п. 1 ст. 9, п.п. 2, 3 ст. 10), однако по смыслу норм п. 2 ст. 8, п. 1 ст. 10 этого закона перечень форм и способов, с использованием которых потребитель может быть ознакомлен с информацией об исполнителе и оказываемых им услугах, не является исчерпывающим.

В связи с этим мы полагаем, что, если в рассматриваемом случае информация, доводимая до клиента с использованием электронной формы запроса, объективно направлена на возможность правильного выбора клиентом оказываемых организацией услуг, согласия на обработку персональных данных оператору не требуется, поскольку такое предоставление информации осуществляется во исполнение обязанности, возложенной на организацию как исполнителя услуг в соответствии с федеральным законом. При этом обработка персональных данных не должна выходить за пределы информирования потребителя в соответствии с требованиями Закона о защите прав потребителей.

Отметим также, что персональные данные должны обрабатываться в целях, заранее определенных и заявленных при сборе персональных данных, в соответствии с полномочиями оператора (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ). По достижении цели обработки или в случае утраты необходимости в ее достижении персональные данные подлежат уничтожению (ч. 2 ст. 5, ч. 4 ст. 21 Закона N 152-ФЗ).

Ответ подготовил:

Эксперт службы Правового консалтинга ГАРАНТ

Ерин Павел Информационное правовое обеспечение ГАРАНТ http://www.garant.ru

ст. 6 GDPR – Законность обработки

Перейти к содержимому

1. Обработка является законной только в том случае, если и в той мере, в какой применяется по крайней мере одно из следующего:
   1. субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
   2. обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора;
   обработка
   3. необходима для соблюдения юридического обязательства, которому подчиняется контролер;
   4. обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица;
   5. обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера;
   6. обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, за исключением случаев, когда такие интересы преобладают над интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда субъект данных — ребенок.

   Пункт (f) первого подпараграфа не применяется к обработке, осуществляемой органами государственной власти при выполнении ими своих задач.

2. Государства-члены могут сохранить или ввести более конкретные положения для адаптации применения правил настоящего Регламента в отношении обработки для соответствия пунктам (с) и (е) параграфа 1 путем более точного определения конкретных требований к обработке и других мер для обеспечения законной и справедливой обработки, в том числе для других конкретных ситуаций обработки, как это предусмотрено в Главе IX.
3. ¹ Основа для обработки, указанной в пунктах (c) и (e) параграфа 1, устанавливается:
   1. Право Союза; или
   2. Закон государства-члена, которому подчиняется контролер.

   ² Цель обработки должна быть определена на этой правовой основе или, что касается обработки, указанной в пункте (e) параграфа 1, должна быть необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера. ³ Эта правовая основа может содержать специальные положения для адаптации применения правил настоящего Регламента, среди прочего: общие условия, регулирующие законность обработки данных контролером; виды данных, подлежащих обработке; заинтересованные субъекты данных; организации и цели, для которых персональные данные могут быть раскрыты; ограничение цели; сроки хранения; а также операции и процедуры обработки, включая меры по обеспечению законной и справедливой обработки, например, для других конкретных ситуаций обработки, как это предусмотрено в Главе IX.

   4 Закон Союза или государства-члена должен отвечать общественным интересам и быть соразмерным преследуемой законной цели.

4. Если обработка для цели, отличной от той, для которой были собраны персональные данные, не основана на согласии субъекта данных или на законе Союза или государства-члена, который представляет собой необходимую и соразмерную меру в демократическом обществе для защиты упомянутых целей в Статье 23 (1), контролер должен, чтобы убедиться, что обработка для другой цели совместима с целью, для которой персональные данные были первоначально собраны, принимает во внимание, среди прочего:
   1. любая связь между целями, для которых были собраны персональные данные, и целями предполагаемой дальнейшей обработки;
   2. контекст, в котором были собраны персональные данные, в частности, в отношении отношений между субъектами данных и контролером;
   3. характер персональных данных, в частности, обрабатываются ли особые категории персональных данных в соответствии со статьей 9 или обрабатываются ли персональные данные, связанные с уголовными судимостями и правонарушениями, в соответствии со статьей 10;
   4. возможные последствия предполагаемой дальнейшей обработки для субъектов данных;
   5. наличие соответствующих мер безопасности, которые могут включать шифрование или псевдонимизацию.

(39) Принципы обработки данных (40) Законность обработки данных (41) Правовая основа или законодательные меры (42) Бремя доказывания и требования для получения согласия (43) Добровольное согласие (44) Исполнение контракта (45) Выполнение юридических обязательств (46) Жизненно важные интересы субъекта данных (47) Превалирующий законный интерес (48) Приоритет законного интереса в рамках группы предприятий (49) Сетевая и информационная безопасность как преобладающий законный интерес (50) Дальнейшая обработка персональных данных (171) Отмена Директивы 95/46/ЕС и переходных положений

←Арт. 5 GDPR

Ст. 7 GDPR→

GDPR Содержание

Сообщить об ошибке

законов о конфиденциальности данных США вступят в новую эру в 2023 году философия, лежащая в основе законов о конфиденциальности данных в Соединенных Штатах.

Исторически здешние законы о конфиденциальности данных были основаны на сборе средств защиты конфиденциальности, «основанных на предотвращении вреда», направленных на предотвращение или смягчение вреда в определенных секторах. Напротив, в соответствии с более широким подходом, основанным на правах, примером которого является Общий регламент ЕС по защите данных (GDPR), люди фактически владеют своей личной информацией и, таким образом, предположительно имеют законное право контролировать ее, а кто может ее использовать — это вопрос. чтобы они решили.

Вслед за Калифорнией четыре других штата — Колорадо, Коннектикут, Юта и Вирджиния — начнут применять новые законы, вдохновленные GDPR, в 2023 году. Обязательно последуют и другие штаты. Последствия этого фундаментального изменения основополагающих философских основ защиты конфиденциальности данных будут значительными в ближайшие годы и десятилетия. 2023 год ознаменует собой сдвиг.

Соединенные Штаты исторически разрешали предприятиям и учреждениям собирать личную информацию без явного согласия, при этом регулируя такое использование для предотвращения или уменьшения вреда в определенных секторах.

Например, эти секторы включают законы и нормативные акты, применимые к финансовому (например, Закон Грэма-Лича-Блайли (GLBA)) и медицинскому сектору (Закон о переносимости и подотчетности медицинского страхования (HIPAA)), образованию (права семьи на образование и неприкосновенность частной жизни). Закон (FERPA)), дети (Закон о защите конфиденциальности детей в Интернете (COPPA)) и другие сектора как на федеральном уровне, так и на уровне штатов.

Уставы, подобные этому, создают правила, применимые к определенным отраслям и типам учреждений. Эти правила защищают и предотвращают неправомерное использование определенных категорий личной информации. В соответствии с их основной философией, позволяющей собирать и использовать личную информацию, но предотвращать вред, эти правила налагают ограничения на отрасли и учреждения в отношении их обработки личной информации.

В отличие от этой философии, основанной на предотвращении вреда, страны Европейского союза (ЕС) уже давно придерживаются режима защиты личной информации, основанного на соблюдении прав человека. Исторически эта философия утверждает, что конфиденциальность данных является одним из основных прав человека. Люди фактически владеют своей личной информацией, и кто может ее использовать, это их дело.

Это отличающееся мировоззрение права на неприкосновенность частной жизни уходит корнями в исторический опыт страданий европейцев из-за печально известного сбора данных нацистами, которые собирали и систематизировали информацию о происхождении и принадлежности людей (среди прочего) и использовали ее для совершения злодеяний. . Чудовищность этих преступлений против человечности сопровождалась аналогичным сбором данных секретной полицией бывшей коммунистической Восточной Германии. Эта трагическая история привела к понятной необходимости регулирования сбора, хранения и использования личной информации.

В 1970 году в немецкой земле Гессен был принят первый в мире закон о защите данных за десятилетия до того, как Интернет и Всемирная паутина стали повсеместными. В 1978 году в Германии был принят Федеральный закон о защите данных. А в 1983 году Федеральный конституционный суд Германии постановил, что каждый человек имеет конституционное право на «информационное самоопределение».

С таким историческим прошлым в Европе и Германией, выступающей в качестве лидера в разработке законов о конфиденциальности данных, к 2016 году ЕС осознал необходимость модернизированного подхода к конфиденциальности данных. Это признание возникло в свете достижений в области информационных технологий и ускорения использования персональных данных в глобально взаимосвязанном мире. Соответственно, ЕС принял Общий регламент по защите данных (GDPR). GDPR, вступивший в силу в 2018 году, кодифицировал несколько ключевых принципов, отражающих европейскую философскую основу защиты конфиденциальности данных, основанную на правах человека.

Понимание основных принципов, кодифицированных в GDPR, полезно для понимания того, что происходит с новыми законами о конфиденциальности данных, которые должны вступить в силу в ближайшие недели и месяцы 2023 года. Новые законы вступят в силу в 2023 году в Калифорнии, Колорадо, Коннектикут, Юта и Вирджиния (а также другие штаты, которые, вероятно, последуют их примеру в ближайшие годы) отражают влияние основанной на правах человека философской основы GDPR. Эти новые законы представляют собой комплексный подход к защите конфиденциальности, применимый к предприятиям во многих секторах, в дополнение к законам для конкретных секторов, которые остаются в силе.

GDPR подразделяет на «контроллеров данных» и «обработчиков данных». Контроллеры данных, как следует из названия, — это предприятия и организации, которые контролируют сбор и использование данных — контроллеры данных решают, что делать с данными. Обработчики данных выполняют инструкции, предоставленные контроллерами данных. Обязательства, которые применяются к контроллерам данных, и их ответственность отличаются от тех, которые применяются к обработчикам данных. Новые законы штатов о конфиденциальности данных содержат это различие и подход.

GDPR устанавливает несколько прав физических лиц в отношении их личной информации. Конкретные применимые права зависят от типа данных, особенно данных, считающихся очень конфиденциальными. Детали в законах США различаются, но в основном права аналогичны правам, изначально установленным в GDPR.

Эти права включают следующее:

•Доступ — физические лица имеют право запрашивать доступ для проверки своей личной информации.

• Исправление — физические лица имеют право требовать исправления ошибок в их личной информации.

• Переносимость — физические лица имеют право потребовать, чтобы их личная информация была передана другому лицу.

•Удаление — физические лица имеют право потребовать удаления их личной информации.

•Согласие — физические лица имеют право решать, может ли их личная информация быть продана или может быть использована для целей получения целевой рекламы.

• Апелляция — физические лица имеют право обжаловать отказ компании в удовлетворении их запроса.

Помимо обеспечения этих прав для отдельных лиц (называемых «субъектами данных» на языке GDPR), GDPR излагает определенные руководящие принципы. Эти принципы включают следующее:

• Конфиденциальность или защита данных по дизайну — система управления данными должна быть разработана с учетом защиты конфиденциальности (включая сопоставление данных, чтобы вы знали, какие данные где хранятся, а средства защиты соответствовали уровню чувствительности данных).

• Ведение учета — необходимо вести соответствующие записи в отношении сбора, обработки и использования данных.

•Минимизация данных — личная информация, особенно конфиденциальная, должна храниться, если вообще хранится, только до тех пор, пока она служит своим целям. Если данные не хранятся, хакеры не могут их украсть.

•Прозрачность, информированное согласие и законное использование — личная информация должна использоваться с информированного согласия субъектов данных, понятным для них образом и только в законных целях, разрешенных законом.

• Специалисты по защите данных и оценки защиты данных — обученный персонал должен следить за соблюдением требований защиты конфиденциальности, а защита данных должна оцениваться с использованием соответствующих принципов управления рисками.

• Передовые методы кибербезопасности — данные должны быть защищены с использованием передовых методов кибербезопасности, чтобы свести к минимуму риски утечки данных, включая соответствующие физические и технологические средства защиты.

• Уведомления об утечке данных — в случае утечки данных должен быть разработан проверенный план реагирования на инциденты, чтобы гарантировать своевременную доставку соответствующих уведомлений в различные сроки, предусмотренные законодательством.

• Обучение сотрудников — сотрудники должны быть обучены методам защиты конфиденциальности в соответствии с хорошо разработанными политиками, а доступ сотрудников к конфиденциальной личной информации должен быть ограничен для снижения рисков.

• Требование надлежащих формулировок контракта — положения контракта, касающиеся защиты данных и конфиденциальности, должны использоваться для обеспечения того, чтобы поставщики и подрядчики также принимали меры против неправомерного использования и утечки личной информации.

Приведенные выше списки прав и правовых принципов не являются исчерпывающими; 99 статей GDPR содержат гораздо больше. Но знакомство с ними помогает изучить быстро меняющиеся законы о конфиденциальности данных в США и предвидеть появление новых.

Вот список новых законов штата о конфиденциальности данных, которые должны быть опубликованы в 2023 году:

(1) Большинство положений Калифорнийского закона о правах на неприкосновенность частной жизни (CPRA) вступают в силу 1 января 2023 года. Закон Калифорнии о конфиденциальности потребителей (CCPA), который уже создал ряд индивидуальных прав по образцу GDPR. CPRA создало новое государственное агентство, аналогичное агентствам по защите данных в странах ЕС, которым поручено обеспечивать соблюдение GDPR.

(2) Закон штата Колорадо о конфиденциальности (CPA) вступает в силу 1 июля 2023 г. В дополнение к созданию прав по образцу индивидуальных прав в соответствии с GDPR, CPA требует обеспечения безопасности данных и положений контракта для поставщиков, а также оценки «высокого риска». обработка.

(3) Закон Коннектикута о конфиденциальности данных (CDPA), как и новый закон штата Колорадо о конфиденциальности, вступает в силу 1 июля 2023 г. CDPA также создает набор индивидуальных прав, подобных GDPR, и требует минимизации данных, безопасности и оценки. для обработки «высокого риска».

(4) Закон штата Юта о конфиденциальности потребителей (UCPA) вступает в силу 31 декабря 2023 г. Он предусматривает определенные права личности, подобные GDPR, а также требует обеспечения безопасности данных и положений контракта. Но UCPA не включает в себя явно требуемые оценки рисков.

(5) Закон штата Вирджиния о конфиденциальности данных потребителей (VCDPA) вступает в силу 1 января 2023 года. Он предусматривает определенные права личности, подобные GDPR. Но в 2022 году «право на удаление» было заменено правом отказа от определенной обработки.

Несмотря на то, что эти новые законодательные акты штатов должны быть всеобъемлющими, они содержат определенные исключения для данных, уже защищенных другими законами, такими как HIPAA. Уставы различаются в зависимости от их охвата, в зависимости от предприятий, которые достигают определенных пороговых значений дохода, или в зависимости от количества жителей, потребителей, домохозяйств или устройств с данными в соответствующем состоянии. Каждый закон уникален и должен быть тщательно проанализирован в отношении его сферы действия, требований, потенциальных обязательств и санкций, а также средств его обеспечения.