Главная
О конфиденциальности закон: Как защищены персональные данные россиян

О конфиденциальности закон: Как защищены персональные данные россиян

Содержание

Закон Калифорнии о защите персональных данных потребителей (CCPA): вопросы и ответы

Обратная связь Изменить

Twitter LinkedIn Facebook Адрес электронной почты

  • Вопросы и ответы

Примечание.

Этот раздел предоставляется «как есть». Сведения и представления, выраженные в этом разделе, включая URL-адрес и другие ссылки на веб-сайт Интернета, могут изменяться без предварительного уведомления. Ответственность за использование этих данных несет пользователь. Эта статья была создана для справочных целей, и ее не следует рассматривать как юридическую консультацию. Вам необходимо проконсультироваться со своим юристом. Эта статья не дает пользователям права интеллектуальной собственности на продукты Майкрософт. Разрешается копирование и использование данной статьи для внутренних, справочных целей.

Что такое CCPA?

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это первый комплексный закон о конфиденциальности в США. Он был принят в конце июня 2018 г. и предоставляет различные права на конфиденциальность потребителям Калифорнии. Предприятия, регулируемые CCPA, будут иметь ряд обязательств перед этими потребителями, включая раскрытие информации, общие права на защиту данных (GDPR) для потребителей, отказ от передачи определенных данных и требование согласия для несовершеннолетних.

Кому необходимо знать о CCPA?

Закон CCPA применим только к компаниям, которые ведут коммерческую деятельность в Калифорнии, если для этих компаний ежегодно выполняется одно или несколько из следующих условий: (1) валовой доход компании составляет свыше 25 млн долларов США; (2) не менее 50 % годового дохода компании получено от продажи личных сведений потребителей; (3) компания покупает, продает или предоставляет доступ к личным сведениям более 50 000 потребителей.

Когда закон CCPA вступает в силу?

CCPA вступает в силу 1 января 2020 г. Тем не менее, Генеральный прокурор начнет осуществлять надзор за его выполнением не ранее 1 июля 2020 г.

Как CCPA повлияет на мою компанию?

Многие права CCPA, которые ccPA предоставляет калифорнии, аналогичны правам, которые предоставляет GDPR, включая запросы на раскрытие и запросы потребителей, аналогичные запросам на предоставление прав субъекта данных (DSR), таким как доступ, удаление и переносимость. Таким образом, потребитель может использовать наши существующие решения GDPR, чтобы соответствовать требованиям CCPA.

Чтобы приступить к применению CCPA, нужно выполнить пять основных шагов:

  • Поиск: определите, какие личные сведения у вас есть и где они хранятся.
  • Сопоставление: определите, каким образом третьим лицам предоставляется общий доступ к личным сведениям и распространяется ли на них исключение из положения CCPA об отказе от передачи данных.
  • Управление: управляйте использованием данных и доступом к ним.
  • Защита: установите элементы управления безопасностью для предотвращения и обнаружения уязвимостей и нарушений безопасности данных, а также реагирования на них.
  • Документирование: документируйте программу реагирования на нарушение безопасности данных и убедитесь в том, что к контрактам с соответствующими третьими лицами применимо исключение из положения об отказе от передачи данных.

Необходимо понимать, какие обязательства вашей организации выполняются в рамках CCPA и как вы их выполняете, хотя корпорация Майкрософт поможет вам в вашем пути.

Реализацию каких прав компании обязаны обеспечить в соответствии с CCPA?

В соответствии с CCPA регулируемые предприятия, которые собирают, используют, передают и продают личные сведения, должны, помимо прочего:

  • предоставлять потребителям информацию о категориях и целях сбора данных до его осуществления;
  • включать в политику конфиденциальности подробную информацию об источниках, бизнес-целях и категориях личных сведений, которые собираются, в том числе о продаже или передаче этих категорий данных другим юридическим лицам;
  • предоставлять потребителям право на доступ, удаление и переносимость отдельных частей личных сведений, собранных вами;
  • Включите элемент управления, который позволит потребителям отказаться от продажи данных потребителя. Тем не менее, в некоторых случаях передача данных, например поставщику услуг, разрешена.
  • Для несовершеннолетних( до 16 лет) включите процедуру согласия, чтобы не было возможности продажи персональных данных несовершеннолетних без активного согласия на продажу.
  • Убедитесь, что потребители могут осуществлять все свои права по CCPA.

Какую информацию необходимо предоставить в соответствии с CCPA?

В соответствии с CCPA необходимо предоставить следующую информацию:

  • категории личных сведений потребителя, которые были собраны;
  • категории источников, используемых при сборе;
  • бизнес-цели или коммерческие цели сбора данных;
  • Категории третьих лиц, которым предоставлен общий доступ к персональным данным.
  • Категории персональных данных, которые были проданы, и категории «третьих лиц», которым была продана каждая категория персональных данных.
  • Категории персональных данных, которые были раскрыты в бизнес-целях (т. е. переданы, но не «продажи»), а также категории «третьих лиц», которым была передана каждая категория персональных данных.
  • отдельные части личных сведений, которые были собраны о потребителе.

Как данные «проданы» в рамках CCPA?

Определение «продажа» в CCPA является чрезвычайно широким, включая «предоставление доступа к личной информации» третьей стороне для денежных или других ценных соображений. Если потребитель выбрал «отказаться», бизнесу потребуется отключить поток персональных данных для любого стороннего производителя.

CCPA предоставляет ряд карвей для этого элемента управления отказом от продажи. Три основных каретки — это передача (i) поставщику услуг, (ii) в исключенную сущность или «подрядчик» и (iii) в направлении потребителя. Даже если потребитель выбрал «отказаться», персональные данные могут по-прежнему передаваться третьим лицам, которые помещаются в эти карусельы.

Чтобы воспользоваться первыми двумя исключениями,компании должны гарантировать, что передача сведений регулируется письменными договорами, содержащими определенные условия, которые требуются законом CCPA.

Что означают «Предприятия» и «Поставщики услуг» в контексте CCPA?

В контексте CCPA предприятия являются отдельными лицами или сущностями, которые определяют цели и средства обработки персональных данных потребителя, а поставщики услуг — отдельными лицами или сущностями, которые обрабатывают информацию от имени компании. Это приблизительные синонимы терминов контролер и обработчик, используемых в GDPR.

Какой штраф предусмотрен для компаний за несоблюдение требований?

Частное право на иск в CCPA ограничено нарушением безопасности данных. В соответствии с этим правом убытки могут составлять от 100 до 750 долларов США за каждый инцидент на потребителя. Кроме того, Генеральный прокурор Калифорнии может обеспечить выполнение CCPA в полной мере, наложив гражданско-правовые санкции в размере не более 2 500 долларов США за нарушение и 7 500 долларов США за преднамеренное нарушение закона.

Что предпринимает корпорация Майкрософт, чтобы добиться соответствия требованиям CCPA?

Поскольку корпорация Майкрософт в глобальном масштабе реализовала DSR, связанные с GDPR, сейчас у нас есть отличная база для соответствия требованиям CCPA. Мы также просмотрели наши сторонние соглашения о совместном использовании данных и предприняли действия, чтобы убедиться, что выполнены необходимые договорные условия, чтобы не продавать личную информацию.

Какие средства можно использовать при подготовке организации к CCPA?

  • Начните использовать оценку GDPR в диспетчере соответствия требованиям в рамках вашей программы конфиденциальности, обеспечивающей выполнение CCPA.
  • Создайте процесс эффективного реагирования на запросы потребителей.
  • Настройка меток и политик для обнаружения, & классификации меток и защиты конфиденциальных данных с помощью Защита информации Microsoft Purview.
  • Используйте возможности шифрования электронной почты для дополнительного контроля конфиденциальной информации.
  • Дополнительные сведения см. в этой записи блога.

Существует много различий. Проще сосредоточиться на сходствах, в том числе:

  • обязательства по прозрачности и предоставлению информации;
  • права потребителей на доступ, удаление и получение копии данных;
  • Определение «поставщиков услуг», аналогично тому, как GDPR определяет «обработчики» с аналогичным договорным обязательством.
  • Определение «предприятия», охватывающее определение GDPR «контроллеров».

Основное различие в CCPA заключается в том, что основное требование заключается в том, чтобы отказаться от продажи данных третьим лицам (при этом «продажа» широко определена для включения общего доступа к данным для ценных аспектов). Это более узкое и конкретное обязательство по сравнению с широким правом GDPR на обработку, которое охватывает этот тип продажи, но не ограничивается таким типом общего доступа.

Что такое «Процессоры» и «Контроллеры»?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик — это физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.

Что именно считается личными сведениями?

Личные сведения — это любая информация, которая относится к идентифицированному или доступному для идентификации лицу. Нет различия между личными, общественными или рабочими ролями человека. Определенный термин «персональные данные» примерно соответствует «персональным данным» в соответствии с GDPR. Кроме того, CCPA также распространяется на данные о семье и домашнем хозяйстве.

Вот некоторые примеры персональных данных.

Идентификация

  • Имя
  • Домашний адрес
  • Рабочий адрес
  • Номер телефона
  • Номер мобильного телефона
  • Адрес электронной почты
  • Номер паспорта
  • Номер национального удостоверения личности
  • Номер социального страхования (или его эквивалент)
  • Водительское удостоверение
  • Физическая, физиологическая или генетическая информация
  • Медицинские сведения
  • Культурная принадлежность

Финансы

  • Банковские реквизиты и номера счетов
  • Номер налогоплательщика
  • Номера кредитных и дебетовых карт
  • Публикации в социальных сетях

Артефакты в сети

  • Публикации в социальных сетях
  • IP-адрес (для региона ЕС)
  • Местоположение и данные GPS
  • Файлы cookie

Как CCPA применяется к детям?

  • CCPA вводит обязательное родительское согласие для детей в возрасте до 13 лет в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA).
  • Для детей в диапазоне от 13 до 16 лет CCPA накладывает новое обязательство по предоставлению согласия от ребенка на любую «продажу» его персональных данных.

Как насчет персональных данных сотрудников?

В октябре 2019 г. в документ CCPA был передан ряд поправок. В одной из них объяснялось, что обязательства по CCPA не относятся к личным сведениям о сотрудниках предприятия. Однако для этой поправки установлен срок действия, равный одному году. Ожидается, что в 2020 г. в Калифорнии будет принят новый закон о защите данных сотрудников.  

Нужно ли мне как пользователю Майкрософт реализовать элемент управления отказом в отношении передачи данных в корпорацию Майкрософт?

Нет. Мы как поставщик веб-службы, чтобы убедиться, что мы квалифицируемся как поставщик услуг в рамках CCPA. Как было указано выше, передача личных сведений поставщикам услуг разрешена, даже если потребитель отказался от передачи данных.

Обратная связь

Отправить и просмотреть отзыв по

Этот продукт Эта страница

Просмотреть все отзывы по странице

Как придать юридическую силу соглашению о неразглашении конфиденциальной информации?

30 ноября 2020

Советы

Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Такое соглашение не будет работать, если обладатель информации не установит режим коммерческой тайны

При заключении сделки с партнером или трудового договора с сотрудником вам бы хотелось избежать несанкционированного распространения передаваемых ему сведений? Ответ на этот вопрос очевиден, ведь разглашение конфиденциальной информации может нанести серьезный ущерб ее первоначальному владельцу. Считается, что защитить от таких последствий сможет соглашение – non-disclosure agreement (NDA). Но так ли это на самом деле?

Что такое NDA?

NDA – это соглашение о неразглашении конфиденциальной информации, которое заключается ее обладателем с теми, кому эта информация передается, в целях недопущения ее последующего распространения. Такой вид соглашений был заимствован из англо-саксонской системы права и не нашел отражения в отечественном гражданском законодательстве. Следовательно, речь идет о непоименованном договоре.

Почему соглашение о неразглашении информации само по себе не работает и как ему придать юридическую силу?

В п. 2 ст. 421 ГК РФ закреплен принцип свободы договора, потому заключение NDA не запрещено. Но имеет ли это соглашение юридическую силу? В действительности оно само по себе не работает. NDA имеет юридическую силу только в случае, если обладатель конфиденциальной информации установил режим коммерческой тайны.

Согласно подп. 7 п. 3 ст. 2 Закона об информации лицо, получившее доступ к конфиденциальной информации, обязуется не передавать ее третьим лицам без согласия ее обладателя. Условия отнесения информации к сведениям, составляющим тайну, устанавливаются законами (ч. 4 ст. 9 Закона об информации). И этот момент является ключевым.

Обратимся к Закону о коммерческой тайне. Пункт 1 ст. 10 этого закона содержит обязательные требования к установлению режима коммерческой тайны:

1) определение перечня информации, составляющей коммерческую тайну;

2) установление порядка обращения с такой информацией и контроля за его соблюдением;

3) ведение учета лиц, получивших доступ к коммерческой тайне, а также лиц, которым она была передана;

4) внесение в трудовые договоры с работниками и в договоры с контрагентами условий, регулирующих обращение с коммерческой тайной;

5) нанесение на материальные носители коммерческой тайны (или включение в состав реквизитов документов) грифа «Коммерческая тайна» с указанием обладателя такой информации.

Первые два требования подразумевают принятие соответствующего локального нормативного акта, закрепляющего необходимые сведения; третье – наличие системы фиксации и регистрации.

В ст. 11 Закона о коммерческой тайне закреплена обязанность работодателя ознакомить под расписку работника с перечнем информации, составляющей коммерческую тайну, с установленным режимом коммерческой тайны и мерами ответственности за его нарушение. Также работодатель обязан создать работнику необходимые условия для соблюдения режима коммерческой тайны.

Соответственно, помимо заключения NDA с партнером или сотрудником, обладатель информации должен выполнить весь перечень требований, установленных законом. В противном случае он не сможет рассчитывать на поддержку со стороны государства.

Что говорят суды?

1. В Постановлении от 3 июля 2015 г. по делу № А56-72074/2014 Тринадцатый арбитражный апелляционный суд отметил, что если в отношении предмета договора установлена коммерческая тайна, то должны быть соблюдены требования ст. 10 Закона о коммерческой тайне. Из материалов дела следует, что стороны заключили NDA, но требования указанной статьи были проигнорированы полностью. Как следствие – неприменимость режима защиты конфиденциальной информации к предмету соглашения.

Аналогичная ситуация отражена в Постановлении Суда по интеллектуальным правам от 16 ноября 2017 г. № С01-922/2017 по делу № А33-28905/2016. СИП поддержал выводы судов первой и апелляционной инстанций о неприменимости к сведениям режима коммерческой тайны, поскольку не были приняты меры, установленные ст. 10 Закона о коммерческой тайне.

2. Отдельно стоит обратить внимание на Апелляционное определение Судебной коллегии по гражданским делам Московского городского суда от 24 июня 2019 г. по делу № 33-26791/2019, которое посвящено трудовым отношениям. Согласно материалам дела, организация обратилась в суд с иском к работнику о взыскании денежных средств за нарушение NDA. Суд в удовлетворении требований отказал. Мотивировал это решение он тем, что ст. 238 ТК РФ содержит положения, устанавливающие материальную ответственность работника за ущерб, причиненный работодателю, но эта норма не предусматривает ответственность за разглашение конфиденциальной информации в виде штрафа. Дополнительные условия трудового договора, ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, не допускаются. В связи с этим включение в трудовой договор условия о взыскании штрафа за нарушение NDA противоречит трудовому законодательству и применению не подлежит.

Таким образом, заключение NDA в рамках трудовых отношений ограничивается нормами трудового права в силу зависимого положения работника и принципа преимущества слабой стороны.

3. Далее рассмотрим спор о форме внутренних документов, посредством которых вводится режим коммерческой тайны, на примере Решения Тихвинского городского суда Ленинградской области от 15 августа 2019 г. по делу № 2-586/2019. Суд отклонил довод о том, что в организации не был установлен режим коммерческой тайны, поскольку отсутствовал единый локальный акт. По его мнению, указания на режим коммерческой тайны в отдельных локальных актах работодателя и включения условий о таком режиме в трудовой договор достаточно для возложения на работника ответственности за разглашение конфиденциальной информации. Иными словами, в наличии единого документа нет необходимости, поскольку закон такого требования не содержит.

4. Судами также был рассмотрен вопрос о том, как соотносится режим коммерческой тайны с возможностью реализации корпоративного контроля участниками обществ.

В Решении Арбитражного суда Ставропольского края от 6 марта 2018 г. по делу № А63-23435/2017 была дана правовая оценка следующей ситуации: общество при предоставлении документов потребовало от участника подписать NDA, но он отказался. Общество обратилось с иском в суд об обязании участника заключить соответствующее соглашение. Однако суд напомнил обществу о принципе свободы договора и отсутствии обязанности у участника подписывать NDA.

Решение Арбитражного суда Ростовской области от 25 июня 2020 г. по делу № А53-35232/2019 примечательно выводом о том, что даже установление порядка оборота информации, отнесенной обществом к конфиденциальной, не является препятствием для предоставления ее участнику в целях реализации корпоративного контроля над деятельностью общества, учитывая, что законом предусмотрена обязанность участника не разглашать конфиденциальную информацию (п. 2 ст. 67, п. 4 ст. 65.2 ГК РФ) и общество имеет право потребовать выдачи соответствующей расписки от участника (п. 15 Информационного письма Президиума ВАС РФ от 18 января 2011 г. № 14).

Обобщая вышесказанное, можно сделать вывод о том, что процедура введения режима коммерческой тайны установлена законом, требования имеют императивный характер. Кроме того, существуют ограничения для трудовых и корпоративных отношений, сужающие сферу применения NDA. Тем не менее в крупных корпорациях, в том числе российских, принято подписывать NDA. Считается, что заключение такого соглашения оказывает дисциплинирующее воздействие на стороны. Наличие психологического фактора не исключено, однако ценность любого соглашения заключается в его юридической силе. А придать ее NDA удастся только в случае соблюдения всех законодательных требований.

Закон о конфиденциальности | HHS.gov

Отдел FOIA/Закона о конфиденциальности в Управлении помощника государственного секретаря по связям с общественностью (ASPA) является координационным центром для администрирования Закона HHS о конфиденциальности, включая уведомления системы регистрации HHS (SORN) и соглашения о сопоставлении компьютеров. (ЦМА).

Закон о конфиденциальности от 1974 г. с поправками к настоящему времени, включая примечания к законодательству (5 U.S.C. 552a),

  • Защищает записи о лицах, полученные с помощью личных идентификаторов , таких как имя, номер социального страхования или другой идентификационный номер или символ . В соответствии с Законом о конфиденциальности физическое лицо имеет право запросить доступ и запросить исправление (если применимо) или отчет о раскрытии любых таких записей о нем или ней.
  • Запрещает раскрытие таких записей без предварительного письменного согласия лица (лиц), к которому относятся записи, за исключением случаев, когда применяется одно из двенадцати исключений в отношении раскрытия информации, перечисленных в подразделе (b) Закона.
  • Требует, чтобы такие записи были описаны в уведомлениях системы записей (SORN), опубликованных в Федеральном реестре и размещенных в Интернете.
  • Включает правила (в примечаниях к законодательству), регулирующие сбор номера социального страхования (SSN), которые применяются независимо от того, будет ли SSN включен в записи, извлекаемые с помощью личного идентификатора.
  • За некоторыми исключениями запрещает ведение записей, описывающих, как физическое лицо осуществляет права, предусмотренные Первой поправкой.
  • Применяется только к федеральным агентствам и распространяется только на записи, находящиеся под контролем федеральных агентств (и, по контракту, также применяется к персоналу подрядчиков и системам, используемым федеральным агентством для ведения записей).
  • Закон о конфиденциальности HHS (45 CFR, часть 5b)
  • Правила Закона о конфиденциальности FDA (21 CFR, часть 21)

Чтобы получить помощь по вопросу или жалобе , касающейся Закона о конфиденциальности, касающейся записей конкретного операционного подразделения HHS, вы можете обратиться к соответствующему контактному лицу HHS по Закону о конфиденциальности.

Чтобы подать запрос на соблюдение Закона о конфиденциальности в HHS , следуйте этим инструкциям: Как подать запрос на соблюдение Закона о конфиденциальности

Оценка воздействия на конфиденциальность (PIA)

Закон об электронном правительстве от 2002 года требует, чтобы государственные органы оценивали влияние на конфиденциальность. для систем, которые содержат личную информацию в оценках воздействия на конфиденциальность (PIA). Все HHS PIA доступны в Интернете.

Канцелярия директора по информационным технологиям (OCIO) в составе канцелярии помощника секретаря по административным вопросам (ASA) является компонентом департамента, ответственным за соблюдение Закона об электронном правительстве 2002 г. и других законов, кодифицированных в 44 U.S.C. Глава 35.

Закон о переносимости и подотчетности медицинского страхования от 1996 г. (HIPAA)

Закон о переносимости и подотчетности медицинского страхования от 1996 г. (HIPAA) Правила содержат требования к конфиденциальности, безопасности и уведомлению о нарушениях, которые применяются к индивидуально идентифицируемой медицинской информации, созданной, полученные, поддерживаемые или переданные поставщиками медицинских услуг, которые участвуют в определенных электронных транзакциях, транзакциях в области здравоохранения, планах медицинского страхования, расчетных центрах здравоохранения и их деловых партнерах.

Управление по гражданским правам (OCR) — это ведомственный компонент, отвечающий за внедрение и обеспечение соблюдения правил HIPAA.

По вопросам о HIPAA или для подачи жалобы HIPAA посетите веб-сайт OCR (https://www.hhs.gov/hipaa) или позвоните по телефону (800) 368-1019.

Законы США о конфиденциальности: полное руководство

Блог о внутренней безопасности / Конфиденциальность и соответствие

В Соединенных Штатах действует лоскутная и постоянно меняющаяся сеть законов, регулирующих конфиденциальность данных. Хотя всеобъемлющего федерального указа о конфиденциальности не существует, несколько законов сосредоточены на конкретных типах данных или ситуациях, касающихся конфиденциальности.

Однако без целостного статута может быть неясно, какие меры защиты предусмотрены для различных типов личной информации и в каких компаниях. Несмотря на отсутствие комплексной системы обеспечения конфиденциальности, организации, которые обрабатывают или хранят данные, по-прежнему несут ответственность за своевременное обновление последних нормативных актов для обеспечения соблюдения требований.

В этом руководстве содержится подробная информация об основных законах США о конфиденциальности, а также о некоторых последних обновлениях и изменениях. Вы также можете загрузить этот подробный информационный бюллетень, чтобы быстро ознакомиться с законами США о защите данных.

Получите бесплатное базовое руководство по соблюдению и законодательству США по защите данных

  • Конфиденциальность и безопасность в Интернете: как это обеспечивается?
  • Законы США о конфиденциальности с вертикальной направленностью
  • Новые законы штата США о конфиденциальности данных
  • Какие требования конфиденциальности применяются ко мне?
  • Часто задаваемые вопросы о конфиденциальности данных

Конфиденциальность и безопасность в Интернете: как это обеспечивается?

В отличие от других форм связи, таких как физическая почта, конфиденциальность и безопасность в Интернете сложнее контролировать. Это может сделать людей уязвимыми для вторжения в частную жизнь.

Интернет-безопасность и вводящая в заблуждение реклама: как они связаны?

Интернет произвел революцию в нашей жизни и работе, предоставив беспрецедентный доступ к информации и общению. Однако наряду с этим расширением возможностей подключения возникают новые риски для конфиденциальности. Жизнь каждого теперь находится в сети, оставляя за собой цифровой след личных данных, которым могут воспользоваться недобросовестные компании или отдельные лица.

К счастью, законы о конфиденциальности данных регулируют сбор, использование и раскрытие персональных данных и устанавливают стандарты того, как предприятия должны обращаться с конфиденциальными данными. Федеральная торговая комиссия (FTC) является основным исполнителем этих законов в США. В последние годы FTC предприняла несколько принудительных мер против компаний, которые вводили потребителей в заблуждение относительно их методов обеспечения безопасности и конфиденциальности данных.

Например, в 2012 году Федеральная торговая комиссия (FTC) пришла к соглашению с Google после того, как обвинила компанию в искажении своей политики конфиденциальности пользователями своего сервиса. В соответствии с условиями оплаты Google согласилась выплатить штраф в размере 22,5 млн долларов и изменить свои методы обеспечения конфиденциальности. Совсем недавно, в 2018 году, Федеральная торговая комиссия приняла меры против Facebook за обман пользователей относительно их способности контролировать видимость их личной информации. Опять же, по соглашению с FTC, Facebook согласился выплатить штраф в размере 5 миллиардов долларов и внести существенные изменения в свои меры конфиденциальности.

Эти случаи показывают, что Федеральная торговая комиссия готова принять жесткие меры в отношении компаний, которые нарушают законы о конфиденциальности потребителей. Эти примеры также создают важный прецедент для будущих судебных исков о конфиденциальности в Интернете — поскольку жизнь людей продолжает перемещаться в онлайн, должны быть приняты строгие законы для защиты данных от эксплуатации.

GDPR и CCPA: как сравниваются законы о конфиденциальности США и ЕС?

GDPR и CCPA: чем они отличаются?

GDPR:

  • Широкий охват: Применяется ко всем организациям по всему миру, которые обрабатывают или отслеживают данные граждан ЕС
  • Последовательное правоприменение: Взимание крупных штрафов с компаний-нарушителей
  • Отсутствие надзора: Не требует назначения сотрудника для надзора за исполнением

CCPA:

  • Узкий охват: Применяется только к организациям, ведущим бизнес в Калифорнии
  • Непоследовательное правоприменение: Наделяет жителей правоприменением через судебные процессы против компаний-нарушителей
  • Специальный надзор: Требуется назначение сотрудника по защите данных для контроля за соблюдением требований

США и Европа имеют самые полные законы о безопасности данных и конфиденциальности; Общий регламент ЕС по защите данных (GDPR) вступил в силу в 2018 г. , а Калифорнийский закон о конфиденциальности потребителей (CCPA) вступил в силу в 2020 г. 

GDPR и CCPA устанавливают строгие стандарты в отношении того, как поставщики услуг должны обрабатывать персональные данные, в том числе обеспечивать прозрачность и безопасность сбора данных и получать их с согласия заинтересованного лица. Стандарты также предоставляют людям право знать, какие личные данные о них собираются, и позволяют им получить к ним доступ и запросить их удаление.

Основное различие между CCPA и GDPR заключается в том, что GDPR применяется к любой организации, которая обрабатывает или намеревается обрабатывать конфиденциальные данные граждан ЕС, независимо от ее местонахождения. Соблюдение GDPR обязательно для любой организации, которая обрабатывает персональные данные граждан ЕС, независимо от того, являются они клиентами или нет. Для GDPR также нет требований к доходам или пороговым значениям обработки.

CCPA распространяется только на организации, ведущие бизнес в Калифорнии. Это правило применяется к организациям, удовлетворяющим пороговым значениям, таким как годовой доход выше 25 миллионов долларов США, к любой организации, которая обрабатывает персональные данные более 50 000 человек, и к организациям, которые получают 50 процентов своего дохода от продажи данных.

Эти требования означают, что GDPR имеет гораздо более широкий охват и защиту, чем CCPA. Например, с точки зрения правоприменения GDPR предусматривает крупные штрафы для поставщиков услуг, нарушающих его положения. Напротив, CCPA предлагает жителям Калифорнии право предъявлять иски предприятиям о возмещении ущерба в случае нарушения их прав потребителей.

Наконец, GDPR требует от компаний назначать сотрудника по защите данных, в то время как CCPA не требует такого требования. В то время как GDPR и CCPA являются строгими законами о защите данных, предоставляющими людям надежные права и защиту, применимость GDPR выходит за пределы США, что делает его одной из самых масштабных структур защиты данных на сегодняшний день.

Для организаций крайне важно проконсультироваться с юрисконсультом и тщательно изучить, какие законы применяются к ним, обеспечивая соблюдение каждого применимого требования.

Законы США о конфиденциальности с вертикальной направленностью

Вообще говоря, законы о конфиденциальности делятся на две категории: вертикальные и горизонтальные. Вертикальные законы о конфиденциальности защищают медицинские записи или финансовые данные, включая такие сведения, как здоровье и финансовое положение человека.

Законы о горизонтальной конфиденциальности сосредоточены на том, как организации используют информацию, независимо от ее контекста. Типы данных, на которые распространяются эти законы, включают отпечатки пальцев, сканирование сетчатки глаза, биометрические данные и другую личную информацию, такую ​​как имена и адреса.

Хронология закона США о конфиденциальности данных

1974

Закон США о конфиденциальности от 1974 г.

Права и ограничения в отношении данных, хранящихся в государственных органах

1999

Закон Грэмма-Лича-Блайли (GLBA)

Защищает непубличную финансовую личную информацию (NPI)

2000

Закон о защите конфиденциальности детей в Интернете (COPPA)

Защищает личную информацию лиц в возрасте 12 лет и младше

Хотя как вертикальные, так и горизонтальные законы о конфиденциальности играют важную роль в защите прав людей на неприкосновенность частной жизни, многие считают вертикальные политики более эффективными, поскольку они лучше нацелены на конкретные риски.

Закон США о конфиденциальности от 1974 г.

Федеральное правительство приняло Закон США о конфиденциальности 1974 г., чтобы усилить защиту частной жизни. Этот закон установил правила и положения, касающиеся сбора, использования и раскрытия личной информации государственными учреждениями США. Ниже приведены некоторые примеры гарантированных прав, на которые распространяется правило конфиденциальности информации:

  • Право запросить доступ и исправить данные, если это необходимо: Граждане США имеют право на доступ к своим личным данным, хранящимся в государственных учреждениях, и запросить изменения, если они считают информацию неточной.
  • Право доступа к данным (ограничено на индивидуальной основе): Правительственные учреждения предоставляют пользователям доступ к данным в зависимости от их роли в компании.
  • Право на информацию об использовании данных: Люди должны знать, как агентства используют их личные данные после их сбора.

HIPAA

Принятый в 1996 г. Закон о переносимости и подотчетности медицинского страхования (HIPAA) представляет собой федеральный закон о защите конфиденциальности, который защищает медицинскую информацию физических лиц. HIPAA применяется ко всем организациям, которые обрабатывают защищенную медицинскую информацию (PHI), включая поставщиков медицинских услуг, больницы и страховые компании. Когда компания передает ЗМИ поставщику медицинских услуг или застрахованной организации, физические лица имеют следующие права:

  • Застрахованная организация может использовать данные пациентов для определенных целей, таких как лечение и оплата. Однако явное разрешение маркетинговой деятельности требует, чтобы поставщики медицинских услуг запрашивали разрешение у пациентов, которым принадлежит их личная информация.
  • Поставщик медицинских услуг должен предоставить пациенту уведомление о правилах конфиденциальности, в котором описывается, как поставщик будет использовать и защищать данные пациента. Пациенты могут запрашивать ограничения на то, как поставщики медицинских услуг используют и раскрывают их личную информацию.
  • Пациенты имеют право обновить свои медицинские записи, если они считают информацию неточной.

Коппа

Конгресс принял Закон о защите конфиденциальности детей в Интернете (COPPA) в 1998 для защиты конфиденциальности в Интернете несовершеннолетних в возрасте до 13 лет. COPPA применяется к любому веб-сайту или онлайн-сервису, который собирает, использует или раскрывает личную информацию от детей. В соответствии с COPPA веб-сайты и онлайн-сервисы должны предпринимать следующие шаги для защиты конфиденциальности детей:

  • Разместите четкую и краткую политику конфиденциальности, объясняющую, какую информацию поставщики услуг будут собирать от детей, как они будут ее использовать и при каких обстоятельствах они будут раскрывать ее третьим лицам.
  • Получите согласие родителей перед сбором, использованием или раскрытием личных данных детей.
  • Предоставьте родителям возможность просматривать и удалять личную информацию своего ребенка.

ГЛБА

В 1999 году правительство США подписало Закон Грэмма-Лича-Блайли (GLBA). Этот закон защищает конфиденциальность потребителей и применяется к любому финансовому учреждению, которое собирает, использует или раскрывает личную информацию. Финансовые учреждения должны принимать следующие меры для защиты конфиденциальности физических лиц:  

  • Объясните клиентам методы обмена информацией и разрешите им отказаться от передачи своих данных третьим лицам.
  • Следуйте установленным правилам сбора, использования и защиты данных клиентов финансовыми учреждениями. Закон распространяется на все типы потребительских данных, включая информацию, собранную в Интернете.
  • Разработайте и внедрите письменную программу информационной безопасности для защиты данных клиентов от несанкционированного доступа.

Новые законы штата США о конфиденциальности данных

Законы о конфиденциальности в США различаются в зависимости от штата — в некоторых штатах приняты законы, обеспечивающие защиту конфиденциальности, а в других нет никаких правил. Ниже приведены некоторые примеры подписанных и предложенных законов о конфиденциальности отдельных штатов: 

.

Калифорния

В 2020 году избиратели в Калифорнии приняли Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA), поправку к CCPA. CPRA обеспечивает дополнительную защиту для калифорнийцев, например, право знать, какие личные данные о них собирают организации, и право знать, продают ли компании свои данные и кому.

Колорадо

Закон штата Колорадо о конфиденциальности — это новый закон, который вступит в силу 1 июля 2023 года. Этот закон требует от компаний раскрывать информацию о своих методах сбора и обмена данными с потребителями и дает жителям Колорадо право отказаться от продажи своих личных данных. . Закон также налагает строгие санкции на компании и уполномочивает генерального прокурора штата возбуждать принудительные действия.

Коннектикут

Закон Коннектикута о конфиденциальности личных данных и онлайн-мониторинге распространяется на любую компанию, которая собирает личную информацию от жителей Коннектикута. Закон устанавливает правила защиты конфиденциальности для контролеров и обработчиков данных и требует от них принятия разумных мер безопасности для защиты личных данных.

Мэриленд

Закон штата Мэриленд о защите потребителей в Интернете защищает потребителей от угроз кибербезопасности, включая утечку данных, кражу, фишинг и шпионское ПО. Хотя этот закон похож на законы других штатов о конфиденциальности, в некоторых отношениях он является более всеобъемлющим.

Например, закон штата Мэриленд требует от компаний принятия разумных мер для защиты личной информации потребителей от несанкционированного доступа, использования или раскрытия. Закон также требует, чтобы организации предоставляли потребителям возможность отказаться от сбора, использования или продажи их личной информации.

Этот закон применяется ко всем предприятиям, которые собирают, используют или раскрывают личные данные о жителях Мэриленда, включая компании за пределами штата, которые продают товары или услуги местным жителям Мэриленда.

Массачусетс

Закон штата Массачусетс о конфиденциальности данных представляет собой набор правил, регулирующих обращение компаний с личной информацией. Закон распространяется на любую организацию, которая хранит, использует или раскрывает личные данные о жителях Массачусетса.

В некоторых положениях закона говорится, что компании должны получить согласие потребителей, прежде чем собирать или использовать их данные. Кроме того, организации должны предпринять необходимые шаги для защиты данных потребителей. Закон штата также устанавливает, что компании должны раскрывать информацию о том, как они используют данные потребителей, и разрешать клиентам отказываться от конкретных видов использования. Наконец, организации должны убедиться, что собираемые ими данные точны и актуальны.

Нью-Йорк

Нью-Йоркский закон о конфиденциальности является одним из наиболее полных законодательных актов о конфиденциальности и безопасности в США. Этот закон устанавливает строгие правила в отношении того, как предприятия должны обращаться с личной информацией потребителей, и предоставляет физическим лицам новые права в отношении данных. Закон существенно влияет на компании, работающие в штате Нью-Йорк, и помогает всем жителям контролировать свою личную информацию. Некоторые ключевые положения закона о конфиденциальности включают:

  • Организации должны раскрывать, какие категории потребительских данных они собирают, используют или продают, а также цели, для которых они будут использовать эти данные.
  • Надежные механизмы правоприменения обеспечивают частное право на иск и применяют гражданско-правовые санкции за каждое нарушение.

Вирджиния

Закон штата Вирджиния о защите данных потребителей — это новый закон, который вступит в силу 1 января 2023 года. Он требует от компаний принятия разумных мер для защиты конфиденциальности, конфиденциальности и целостности данных потребителей.

Этот новый закон применяется к любому бизнесу, который собирает, использует или раскрывает личную информацию 100 000 или более потребителей Вирджинии или получает 50 или более процентов своего дохода от продажи данных потребителей.

Закон также дает жителям Вирджинии право на доступ к своим личным данным и запросить исправление, если они неверны.

Сравнение законов штата США о конфиденциальности

Между законами каждого штата есть существенные различия. Например, законы Калифорнии, Нью-Йорка и Массачусетса распространяются на любую компанию, которая ведет бизнес в штате, независимо от того, есть ли у них там офис. Для сравнения, закон Мэриленда применяется только к организациям, которые физически присутствуют в штате. Кроме того, законы о конфиденциальности Калифорнии и Мэриленда применяются к предприятиям с годовым доходом более 25 миллионов долларов, в то время как в других странах таких ограничений нет.

Какие требования конфиденциальности применяются ко мне?

Хотя экосистема законов штата и федерального законодательства о конфиденциальности может показаться сложной, существуют простые способы определить, какие нормативные требования применяются к вам и вашему бизнесу. Рассмотрим свой бизнес:

  • Местонахождение: Работайте со своим партнером по соблюдению нормативных требований и получите хорошее внутреннее представление о том, какие нормы штата и федеральные нормы применяются к вам.
  • Отрасль: Различные вертикали по-разному относятся к законам США о конфиденциальности, от здравоохранения до розничной торговли и финансовых услуг. Вместе со своим партнером по соблюдению требований вы захотите провести тщательный поиск отраслевых стандартов и внедрить меры и средства контроля для соответствия HIPAA, Регуляторному органу финансовой отрасли и другим отраслевым нормам.
  • Размер: Если вы храните большие объемы личных или конфиденциальных данных с помощью сторонних поставщиков облачных услуг или организаций, вам также следует перепроверить, чтобы их элементы управления никоим образом не угрожали вашему соответствию требованиям.

Используя эти ключевые факторы, определить, какие требования конфиденциальности применимы к вашей организации, может быть относительно просто.

Часто задаваемые вопросы о конфиденциальности данных

Ниже приведены часто задаваемые вопросы о законах о конфиденциальности данных.

В: Чем законы о конфиденциальности в США отличаются от европейских?

О: Самое существенное отличие заключается в том, что в США нет единого комплексного федерального закона о конфиденциальности, подобного GDPR ЕС. Вместо этого в США есть лоскутное одеяло из федеральных законов и законов штатов, которые предлагают различные уровни защиты личных данных потребителей.

В: Каковы основные пункты федеральных законов США и законов штата о конфиденциальности?

A: Большинство законов США о конфиденциальности имеют несколько основных положений, таких как получение согласия потребителя перед сбором или использованием персональных данных и необходимость принятия мер по обеспечению безопасности данных. Однако между законами есть некоторые существенные различия, поэтому важно проверять конкретные требования каждого указа, чтобы обеспечить их соблюдение.

В: Каковы последствия нарушения законов США о конфиденциальности?

A: Последствия нарушения законов США о конфиденциальности могут различаться в зависимости от закона. В некоторых случаях юридические лица могут быть подвергнуты штрафам или другим санкциям. В других случаях потребители могут иметь право предъявить иск компании о возмещении ущерба.

Будущее законов о конфиденциальности данных

По мере того, как каждый год все больше личных и конфиденциальных данных переходит из рук в руки в цифровом виде, понимание законов, защищающих нашу конфиденциальность, становится все более важным.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *