Главная
Постановление правительства о защите персональных данных: Постановление об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Постановление правительства о защите персональных данных: Постановление об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Содержание

Постановление об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001).

Председатель Правительства Российской Федерации

Д. Медведев

Требования к защите персональных данных при их обработке в информационных системах персональных данных

1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее — информационные системы) и уровни защищенности таких данных.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом — третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 [1] Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

12. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

О положениях постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

В связи с принятием постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-1119) утратило силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-781).

Учитывая, что ПП-1119 было принято в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» (далее — 152-ФЗ) в той редакции, которая распространяется на правоотношения, возникшие с 1 июля 2011 года, требования ПП-1119 обязательны к исполнению для информационных систем персональных данных (далее –

ИСПДн), созданных с 1 июля 2011 года. В отношении ИСПДн, созданных до 1 июля 2011 года, применимы как требования ПП-1119, так и требования ПП-781.

В случае, если работы по обеспечению безопасности персональных данных в ИСПДн, созданных с 1 июля 2011 года, уже были выполнены до вступления в силу ПП-1119, после принятия нормативных правовых актов ФСБ России и ФСТЭК России необходимо будет пересмотреть результаты выполненных работ на соответствие ПП-1119, а также указанным документам ФСБ России и ФСТЭК России, в соответствии с которыми будет осуществляться выбор средств защиты информации (далее –

СЗИ).

Новым ПП-1119 установлены:

  • требования к защите персональных данных при их обработке в ИСПДн;

  • уровни защищенности таких данных.

В соответствии с ПП-1119 оператору или лицу, осуществляющему обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора, необходимо создать систему защиты персональных данных, обеспечивающую безопасность персональных данных, включающую организационные и (или) технические меры, которые определяются с учетом:

  • актуальных угроз безопасности персональных данных;

  • информационных технологий, используемых в ИСПДн.

При этом в ПП-1119 не содержится упоминания о

СЗИ как обязательной компоненте обеспечения безопасности персональных данных, как это было определено в ПП-781.

В ПП-1119 установлены как новые требования к операторам, так и требования, ранее закрепленные в других нормативных правовых актах:

1. Необходимо включить в договор между оператором и уполномоченным лицом обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в ИСПДн 1).

2. СЗИ для системы защиты персональных данных должны быть выбраны оператором после принятия нормативных правовых актов

ФСБ России и ФСТЭК России во исполнение ч.4 ст.19 152-ФЗ.

3. Необходимо определить, какие категории персональных данных обрабатываются в каждой ИСПДн, а также к какой из двух категорий субъектов (работники опреатора или иные лица) принадлежат эти персональные данные:

  • специальные категории персональных данных;

  • биометрические персональные данные;

  • общедоступные персональные данные;

  • иные категории персональных данных.

При этом:

  • в ПП-1119 не упоминаются обезличенные персональные данные как категория персональных данных. Следовательно, для персональных данных, в отношении которых были совершены действия по обезличиванию, определение уровня защищенности не требуется

    2);

  • сведения о судимости не причислены ни к одной из вышеназванных категорий персональных данных, несмотря на то, что в ст.10 152-ФЗ они отнесены к специальным категориям;

  • ИСПДн признается обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов, полученные только из общедоступных источников персональных данных. Случаи, когда персональные данные сделаны субъектом общедоступными в соответствии с п.10 ч.1 ст.6 152-ФЗ, в ПП-1119 не рассмотрены.

4. Необходимо определить, угрозы какого типа из трех возможных актуальны для этих ИСПДн в зависимости от наличия недокументированных (недекларированных) возможностей, а также типа программного обеспечения (системное (далее — СПО) или прикладное (далее – ППО)).

Определение типа актуальных угроз должно осуществляться с учетом оценки возможного вреда субъектам персональных данных и в соответствии с нормативными правовыми актами, определяющими актуальные угрозы безопасности персональных данных при их обработке в ИСПДн при осуществлении соответствующих видов деятельности3).

5. Необходимо разработать документ, на основании которого можно оценить возможный вред субъектам персональных данных в случае нарушения 152-ФЗ4).

6. Необходимо установить количество субъектов, персональные данные которых обрабатываются в каждой ИСПДн (больше 100 000 или меньше 100 000).

7. Необходимо определить, какой уровень защищенности персональных данных из четырех возможных необходимо обеспечивать при их обработке в

ИСПДн (см. Таблицу 1) на основании:

  • типа актуальных угроз,

  • категорий персональных данных, обрабатываемых в ИСПДн,

  • категорий субъектов, персональные данные которых обрабатываются в ИСПДн,

  • количества субъектов, персональные данные которых обрабатываются в каждой ИСПДн.

8. Выполнить требования, предусмотренные в ПП-1119, для обеспечения соответствующего уровня защищенности персональных данных (см. Таблицу 2).

9. Оператору (уполномоченному лицу) необходимо не реже 1 раза в 3 года организовывать и проводить контроль за выполнением указанных требований (самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

персональные данные, аналитика

1)

Данный пункт необходим к исполнению в случае, если соответствующие положения еще не закреплены в договорах с уполномоченными лицами во исполнение ч.3 ст.6 152-ФЗ.

2)

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п.9 ст.3 152-ФЗ).

3)

Указанные нормативные правовые акты необходимо будет учитывать после их принятия во исполнение ч.5 ст.19 152-ФЗ

4)

Данный пункт необходим к исполнению в случае, если оценка вреда субъектам персональных данных еще не произведена оператором во исполнение п.5 ч.1 ст.18.1 152-ФЗ.

Сравнительные таблицы законов США о конфиденциальности данных на уровне штатов

КРАТКОЕ ОПИСАНИЕ

2 февраля 2022 г.


В ЭТОЙ СТАТЬЕ

Каковы основы?

Насколько законы США о защите данных соотносятся с GDPR?

Кто должен соблюдать каждый закон о конфиденциальности данных?

Каковы последствия несоблюдения?

[ Подробнее о важных новостях о конфиденциальности и безопасности данных, экспертном анализе и практических инструментах Bloomberg Law.] тонкие различия могут сбить с толку даже самых опытных специалистов по соблюдению требований. Здесь Bloomberg Law предоставляет легко читаемое сравнение законов США о конфиденциальности данных по штатам, а также сравнение GDPR с новыми законами США о конфиденциальности данных в Калифорнии, Вирджинии и Колорадо.

Подпись: Карта законов о конфиденциальности данных по штатам

Каковы основы?

GDPR CCPA КПРА ВЦДПА СРА
Имя Общее положение о защите данных Закон штата Калифорния о конфиденциальности потребителей Закон штата Калифорния о правах на неприкосновенность частной жизни Закон о защите данных потребителей Закон штата Колорадо о конфиденциальности
Цитата ЕС/2016/679 Кал. Гражданский Кодекс § 1798.100 и далее. Кал. Гражданский Кодекс § 1798.100 и далее. Вирджиния. Кодекс § 59.1-571 и след. Colo. Rev. Stat. § 6-1-1301 и след.
Юрисдикция Европейский Союз Калифорния Калифорния Вирджиния Колорадо
Модель Подключиться
Отказ от участия		 Отказ от участия Отказ Отказ от участия
Сектор Неотраслевой Неотраслевой Неотраслевой Неотраслевой Неотраслевой
Дата вступления в силу 25 мая 2018 г. 1 января 2020 г. 16 декабря 2020 г.; 1 января 2023 г. 1 января 2023 г. 1 июля 2023 г.

[ Загрузите полную таблицу для получения всей важной информации.] GDPR CCPA КПРА ВЦДПА СРА Чьи данные защищены? Законодательный срок Субъект данных Потребитель Потребитель Потребитель Потребитель Определено Физическое лицо в ЕС Физическое лицо, являющееся резидентом ЦА Физическое лицо, являющееся резидентом ЦА Физическое лицо, являющееся резидентом Вирджинии Физическое лицо, являющееся резидентом СО Какие типы данных защищены? Срок действия Персональные данные Личная информация Личная информация Персональные данные Персональные данные Определяется как Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу Информация, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством Информация, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством Любая информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым физическим лицом Информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом Определение исключает обезличенные данные GDPR использует термин «псевдонимизированный», а не «обезличенный». Согласно Декларации 26, персональные данные, подвергшиеся псевдонимизации, которые могут быть отнесены к физическому лицу путем использования дополнительной информации, должны считаться персональными данными. Да, но см. положения о повторной идентификации обезличенной информации. Кал. Гражданский Код §1798.148. Да, но см. положения о повторной идентификации обезличенной информации. Кал. Гражданский Код §1798.148. Более того, CPRA уполномочивает генерального прокурора обновить определение «анонимизированного». Кал. Гражданский Кодекс §1798.185(а). Да, но к обезличенным данным применяются особые требования. См. Кодекс штата Вирджиния, § 59.1-581. Да, но к обезличенным данным применяются особые требования. См. Colo. Rev. Stat.§ 6-1-1307. Определение не включает общедоступную информацию № Да Да Да Да Определение исключает совокупную информацию Не указано, но в пункте 162 пункта Декларации указано, что GDPR применяется к обработке персональных данных в статистических целях. Да Да Не указано Не указано

[ Загрузить полную таблицу для быстрого обзора всей важной информации.]

GDPR

Общий регламент по защите данных Союза (ЕС). Персональные данные, подпадающие под действие закона, определяются как любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Он исключает «псевдонимизированные» данные, но не исключает общедоступные данные. В преамбуле 162 указано, что GDPR применяется к обработке персональных данных в статистических целях.

CCPA

Закон штата Калифорния о конфиденциальности потребителей (CCPA) защищает потребителя, который определяется как физическое лицо, проживающее в Калифорнии. CCPA применяется к информации, которая идентифицирует, относится, описывает, может быть связана или может быть связана, прямо или косвенно, с конкретным потребителем или домохозяйством. CCPA исключает деидентифицированные данные, общедоступную информацию и агрегированную информацию.

CPRA

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) защищает потребителя, который определяется как физическое лицо, проживающее в Калифорнии. CPRA применяется к информации, которая идентифицирует, относится, описывает, может быть обоснованно связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. Он исключает деидентифицированные данные, общедоступную информацию и агрегированную информацию.

VCDPA

Закон штата Вирджиния о защите данных потребителей, или VCDPA, защищает потребителя, который определяется как физическое лицо, проживающее в Вирджинии. Он защищает личную информацию, которая определяется как любая информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым физическим лицом. VCDPA исключает обезличенные данные и общедоступные данные. В нем не указывается, исключается ли совокупная информация.

CPA

Закон штата Колорадо о конфиденциальности (CPA) защищает потребителя, которым считается физическое лицо, проживающее в штате Колорадо. Он защищает персональные данные, которые определяются как информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом. CPA исключает обезличенные данные и общедоступные данные. В нем не указывается, исключается ли совокупная информация.

[Внутренний форум Bloomberg Law 2022 был посвящен решениям, которые помогут вашему совету директоров и сотрудникам согласовать ключевые вопросы кибербезопасности и конфиденциальности, влияющие на ваш бизнес. Смотрите сейчас.]

Загрузить полную таблицу

Вся важная информация и часто задаваемые вопросы о законах о конфиденциальности данных в США доступны в нашей загружаемой таблице.

Кто должен соблюдать каждый закон о конфиденциальности данных?

GDPR CCPA КПРА ВЦДПА СРА
Порог юрисдикции Обрабатывает персональные данные в контексте деятельности «предприятия» в ЕС или обрабатывает персональные данные физических лиц в ЕС, связанные с предложением им товаров и услуг или мониторингом их поведения «Ведет бизнес» в Калифорнии «Ведет бизнес» в Калифорнии «Ведение бизнеса» в Вирджинии или производство продуктов или услуг, «ориентированных» на жителей Вирджинии «Ведет бизнес» в Колорадо или производит или поставляет коммерческие продукты или услуги, «намеренно ориентированные» на жителей Колорадо
Порог дохода Нет Годовой валовой доход более 25 миллионов долларов США Годовой валовой доход более 25 миллионов долларов США в предыдущем календарном году Нет Нет
Порог обработки Нет Данные 50 000 и более потребителей Данные 100 000 или более потребителей Данные 100 000 или более потребителей Данные 100 000 или более потребителей
Брокерский порог Нет Не менее 50% дохода от продажи данных Не менее 50% дохода от продажи или обмена данными Данные 25 000 и более потребителей + не менее 50% выручки от продажи данных Данные 25 000 или более потребителей + извлекает доход или получает скидку от продажи данных

[ Загрузите полную таблицу для краткого обзора всей важной информации. ] в ЕС или обрабатывает персональные данные физических лиц в ЕС, связанные с предложением им товаров и услуг или мониторингом их поведения. Не существует порога дохода, порога обработки или порога брокера.

CCPA

CCPA применяется к организациям, которые «ведут бизнес» в Калифорнии и соответствуют следующим пороговым значениям:

  • годовой валовой доход превышает 25 миллионов долларов США,
  • обрабатывают данные 50 000 или более потребителей,
  • не менее 50% выручки поступает от продажи данных.
CPRA

CPRA применяется к организациям, ведущим бизнес в Калифорнии, которые соответствуют следующим пороговым значениям:

  • годовой валовой доход более 25 миллионов долларов США в предыдущем календарном году,
  • обрабатывать данные 100 000 или более потребителей,
  • не менее 50 % дохода поступает от продажи или обмена данными.

[ Нажмите здесь, чтобы просмотреть полный глоссарий терминов в рамках CCPA/CPRA . ]

VCDPA

VCDPA применяется к организациям, которые «ведут бизнес» в Вирджинии или производят продукты или услуги, «ориентированные» на жителей Вирджинии. Порога дохода нет, но закон применяется только к организациям, которые обрабатывают данные 100 000 или более потребителей или компаний, которые обрабатывают данные, или не менее 25 000 потребителей, получая при этом более 50 процентов валового дохода от продажи этих данных.

CPA

CPA применяется к любой организации, которая «ведет бизнес» в Колорадо или производит или поставляет коммерческие продукты или услуги, «намеренно ориентированные» на жителей Колорадо. Организации должны соответствовать одному из двух пороговых значений, чтобы подпадать под действие закона, и оба пороговых значения касаются минимального количества затронутых потребителей. Организации должны контролировать или обрабатывать (i) персональные данные не менее 100 000 потребителей или (ii) персональные данные не менее 25 000 потребителей, получая при этом доход или скидку от продажи этих данных.

Каковы последствия несоблюдения?
GDPR CCPA КПРА ВЦДПА СРА
Несоответствие Административные штрафы в размере до 20 миллионов евро или 4% от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше. По искам, поданным AG, гражданско-правовые санкции в размере до 7 500 долларов США за преднамеренное нарушение или 2 500 долларов США за непреднамеренное нарушение. Бездействие со стороны потребителей в связи с нарушениями безопасности, установленный законом ущерб в размере не менее 100 и не более 750 долларов США на одного потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше. Административные штрафы в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, возмещение установленного законом ущерба не менее 100 и не более 750 долларов США на потребителя за каждый инцидент или фактический ущерб, в зависимости от того, что больше. Если контролер или обработчик продолжает нарушать VCDPA после периода исправления или нарушает прямое письменное заявление, предоставленное Генеральному прокурору, Генеральный прокурор может инициировать действие от имени Содружества и может добиваться судебного запрета для пресечения любых нарушений VCDPA и гражданские штрафы в размере до 7500 долларов за каждое нарушение. Для целей исполнительного производства, инициированного генеральным прокурором или окружным прокурором, нарушение CPA представляет собой мошенническую торговую практику.

[ Загрузите полную таблицу для получения краткой информации.]

GDPR

Последствиями несоблюдения GDPR являются административные штрафы до 20 миллионов евро или 4 % от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше.

CCPA

По искам Генерального прокурора нарушителям CCPA грозит гражданский штраф в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. Последствиями исков, возбужденных потребителями в связи с нарушениями безопасности, являются предусмотренные законом убытки в размере не менее 100 и не более 750 долларов США на каждого потребителя за инцидент или фактические убытки, в зависимости от того, что больше.

CPRA

Последствиями несоблюдения CPRA являются административные штрафы в размере до 7500 долларов США за преднамеренное нарушение или 2500 долларов США за непреднамеренное нарушение. В исках, возбужденных потребителями в связи с нарушениями безопасности, штрафом является установленный законом ущерб в размере не менее 100 и не более 750 долларов США на каждого потребителя за инцидент или фактический ущерб, в зависимости от того, что больше.

[ Какая разница? Узнайте больше о сравнении CCPA и CPRA.]

VCDPA

Если контролер или обработчик продолжает нарушать VCDPA после периода исправления или нарушает прямое письменное заявление, предоставленное Генеральному прокурору, Генеральный прокурор может инициировать иск от имени Содружества и может добиваться судебного запрета на любые нарушения VCDPA и гражданских штрафов в размере до 7500 долларов США за каждое нарушение.

CPA

Для целей исполнительного производства, возбужденного генеральным прокурором или окружным прокурором, нарушение CPA представляет собой обманную торговую практику.

Расследование утечки в Верховном суде оставляет загадку: допрашивали ли судей?

Зои Тиллман и Сабрина Уиллмер

Импульс для черных юристов, возможно, уже угасает

Вивия Чен

Культурные войны застали крупные юридические фирмы в балансировании требований клиентов и сотрудников

Тиана Хедли

Федеральные законы о защите данных | ОБРАЗОВАНИЕ

На этой странице представлен краткий список наиболее распространенных федеральных законов о защите данных. Чтобы получить более полный список основных федеральных законов и нормативных актов, регулирующих деятельность колледжей и университетов, посетите веб-сайт Альянса по соблюдению требований к высшему образованию и просмотрите матрицу соответствия требованиям HECA.

Следующие федеральные законы применяются к тому, как высшие учебные заведения и неправительственные организации собирают и используют данные .

  • Закон о правах семьи на образование и неприкосновенность частной жизни от 1974 г. (FERPA) : Защищает учащихся и их семьи, обеспечивая конфиденциальность образовательных документов учащихся. Образовательные записи — это записи, поддерживаемые агентством или учреждением, содержащие персональные данные учащихся и данные об образовании. FERPA распространяется на начальные и средние школы, колледжи и университеты, профессиональные колледжи, а также государственные и местные образовательные учреждения, которые получают финансирование в рамках любой программы, администрируемой Министерством образования США.
    • Дополнительную информацию см. на веб-сайте FERPA Министерства образования США.

  • Закон о переносимости и подотчетности медицинского страхования от 1996 г. (HIPAA) : Требует, чтобы застрахованные организации (как правило, поставщики медицинского и медицинского страхования и их партнеры) защищали безопасность и конфиденциальность медицинских записей. Этот закон часто используется в разговорах о данных студентов, когда в учреждениях есть медицинский центр в кампусе, а медицинские карты студентов интегрированы с студенческими документами об образовании (которые защищены FERPA).

  • Закон Gramm Leach Bliley Act (GLBA) : применяется к финансовым учреждениям и содержит положения о конфиденциальности и информационной безопасности, предназначенные для защиты финансовых данных потребителей. Этот закон также применяется к тому, как учебные заведения собирают, хранят и используют финансовые отчеты (например, отчеты об оплате обучения студентов и/или финансовой помощи), содержащие личную информацию.

  • Закон о честных и точных кредитных сделках от 2003 г. (FACTA или «правило красного флага») : Требует, чтобы организации, участвующие в определенных видах потребительских финансовых операций, знали о предупреждающих признаках кражи личных данных и предпринимали шаги для реагирования на предполагаемые случаи кражи личных данных. Как и GLBA, этот закон применяется к тому, как учебные заведения собирают, хранят и используют финансовые отчеты студентов.

Следующие законы применяются к  тому, как  федеральное правительство  собирает и использует данные .

  • Закон о конфиденциальности от 19 г.74 : Предназначен для защиты конфиденциальности записей, созданных и используемых федеральным правительством. В законе изложены правила, которым должно следовать федеральное агентство для сбора, использования, передачи и раскрытия информации, позволяющей установить личность человека. Закон также требует, чтобы агентства собирали и хранили только минимальную информацию, необходимую им для ведения бизнеса. Кроме того, закон требует, чтобы агентства уведомляли общественность о любых хранящихся у них записях, которые можно получить с помощью личного идентификатора (например, имени или номера социального страхования).
    •  Дополнительную информацию см. на веб-сайте Закона о конфиденциальности Министерства юстиции США.
  • Закон об электронном правительстве от 2002 г. : Требует, чтобы федеральные агентства анализировали и оценивали риски конфиденциальности для своих ИТ-систем и публично публиковали уведомления о конфиденциальности о своих методах сбора данных. Этот закон дополняет Закон о конфиденциальности 1974 года и был предназначен для расширения доступа к электронным государственным ресурсам. В соответствии с этим законом агентство, которое собирает личную информацию, должно провести оценку воздействия на конфиденциальность, прежде чем собирать эту информацию. В оценке воздействия на конфиденциальность должны быть указаны данные, которые агентство будет собирать, как оно собирает эти данные, как оно будет использовать и/или делиться данными, есть ли у отдельных лиц возможность дать согласие на конкретное использование данных (например, любое использование, не связанное с иное разрешено законом), как агентство будет защищать данные и будут ли собранные данные храниться в системе записей, как это определено Законом о конфиденциальности.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *