Работа с персональными данными с 1 июля 2019: Как ужесточились требования к работе с персональными данными в 2021 году

Содержание

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1¹ следующего содержания:

«1¹) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.»;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

5) дополнить статьей 10¹ следующего содержания:

«Статья 10¹. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.»;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;».

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской Федерации В. Путин

Застройщикам: переход на проектное финансирование с 1 июля 2019 года

Федеральным законом от 25 декабря 2018 года № 478-ФЗ «О внесении изменений в Федеральный закон «Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации» и отдельные законодательные акты Российской Федерации» предусмотрен с 1 июля 2019 года обязательный переход всех строительных организаций, осуществляющих привлечение денежных средств участников долевого строительства, на проектное финансирование с использованием счетов эскроу по всем проектам жилищного строительства, за исключением проектов жилищного строительства, которые соответствуют установленным Правительством Российской Федерации критериям, определяющим степень готовности таких объектов и количество заключенных договоров участия в долевом строительстве.

Постановление Правительства Российской Федерации от 22 апреля 2019 № 480 «О критериях, определяющих степень готовности многоквартирного дома и (или) иного объекта недвижимости и количество заключенных договоров участия в долевом строительстве, при условии соответствия которым застройщику предоставляется право на привлечение денежных средств участников долевого строительства без использования счетов, предусмотренных статьей 15.4 Федерального закона «Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации», по договорам участия в долевом строительстве, представленным на государственную регистрацию после 1 июля 2019 г.»

Информация о документах необходимых для прохождения экспересс оценки для определения возможности кредитования проекта(ов) застройщика в уполномоченных банках, соответствующих критериям, указанным в постановлении Правительства РФ № 697 от 18.06.2018 «О требованиях к банкам для открытия в них счетов эскроу по договорам участия в долевом строительстве многоквартирных домов»:

Правительство Иркутской области Официальный портал

Положение о персональных данных в 2019 году: пример

Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.

См. “Образец согласия на обработку персональных данных на 2019 год“.

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;

работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Образец положения о персональных данных 2019

СКАЧАТЬ ОБРАЗЕЦ ПОЛОЖЕНИЯ О ПЕРСОНАЛЬНЫХ ДАННЫХ 2019

Далее приведем возможный текст положения о защите персональных данных в 2019 году:

Общество с ограниченной ответственностью «Стелла»

(ООО Стелла»)

УТВЕРЖДАЮ

Директор

ООО «Стелла»

__________ А.С. Пушкин

9 июля 2019 года

ПОЛОЖЕНИЕ

О работе с персональными данными работников

9 июля 2019 года Москва

1. Общие положения

1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 9 июля 2018 года.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Работники должны быть под подпись ознакомлены с Положением о персональных данных. Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним).

Приводим для примера лист ознакомления работников с Положением о персональных данных

Ф.И.О. работника	Дата ознакомления
Усиков Сергей Иванович		Усиков

С 1 июля 2019 года ОАО «МРСК Урала» прекращает исполнять функции гарантирующего поставщика электрической энергии на территории Челябинской области

Согласие на обработку персональных данных

В соответствии с требованиями Федерального Закона от 27.07.2006 №152-ФЗ «О персональных данных» принимаю решение о предоставлении моих персональных данных и даю согласие на их обработку свободно, своей волей и в своем интересе.

Наименование и адрес оператора, получающего согласие субъекта на обработку его персональных данных:

ОАО «МРСК Урала», 620026, г. Екатеринбург, ул. Мамина-Сибиряка, 140 Телефон: 8-800-2200-220.

Цель обработки персональных данных:

Обеспечение выполнения уставной деятельности «МРСК Урала».

Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

— фамилия, имя, отчество;
— место работы и должность;
— электронная почта;
— адрес;
— номер контактного телефона.

Перечень действий с персональными данными, на совершение которых дается согласие:

Любое действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Персональные данные в ОАО «МРСК Урала» могут обрабатываться как на бумажных носителях, так и в электронном виде только в информационной системе персональных данных ОАО «МРСК Урала» согласно требованиям Положения о порядке обработки персональных данных контрагентов в ОАО «МРСК Урала», с которым я ознакомлен(а).

Согласие на обработку персональных данных вступает в силу со дня передачи мною в ОАО «МРСК Урала» моих персональных данных.

Согласие на обработку персональных данных может быть отозвано мной в письменной форме. В случае отзыва согласия на обработку персональных данных.

ОАО «МРСК Урала» вправе продолжить обработку персональных данных при наличии оснований, предусмотренных в п. 2-11 ч. 1 ст. 6 Федерального Закона от 27.07.2006 №152-ФЗ «О персональных данных».

Срок хранения моих персональных данных – 5 лет.

В случае отсутствия согласия субъекта персональных данных на обработку и хранение своих персональных данных ОАО «МРСК Урала» не имеет возможности принятия к рассмотрению заявлений (заявок).

ПЕРСОНАЛЬНЫЕ ДАННЫЕ – ЭТО… — ИСПДн.инфо

29.05.2019

Прошло уже больше 10 лет, как действует закон «О персональных данных». И как бы это абсурдно не звучало, но до сих пор нет четких границ того, что можно отнести к персональным данным.
Конечно, в первую очередь, нужно обратиться к 152-ФЗ, в котором есть определение:
«персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»

Понятия в нормативных документах указаны для того, чтобы конкретизировать действие документа, но в нашем случае, такое определение оставляет больше вопросов, чем ответов. Например, под данными, относящимися к определяемому физическому лицу, можно отнести почти все, что угодно: скорость печати на клавиатуре, данные об активности в интернете, номер школы, которую закончили, размер одежды, модель телефона, цвет рабочего стола и т.д. Ведь все эти данные позволят косвенно определить то, к кому они относятся.
То есть если Вы про что-то можете сказать, что это «Ваше», то информация об этом считается персональными данными. С одной стороны, такая трактовка упрощает понимание термина, но в то же время достаточно усложняет выполнение требований законодательства.

Ведь определение начинает включать себя очень обширный массив данных, с которой организация ежедневно работает.
Давайте теперь обратимся к мнению Роскомнадзора, так как он является уполномоченным органом, защищающим права субъектов персональных данных, и оказывает контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Во время своего отчетного семинара по результатам первого полугодия 2018 года сотрудники регулятора озвучили планы о разработке матрицы персональных данных и их публикации на своем портале до конца прошлого года. К сожалению, пока подобной информации нет.

Регулятор периодически организовывает мероприятия и отвечает на вопросы, интересующие операторов персональных данных. Но нужно понимать, что конкретный сотрудник высказывает лишь свое собственное мнение, которое не всегда совпадает с мнение инспектора, который будет проводить проверку в Вашей организации. Также Роскомнадзор периодически выпускает комментарии к 152-ФЗ, где освещает свое видение на ряд вопросов. В 2015 г. был выпущен научно-практический комментарий под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой.

В данном труде достаточно подробно расписан подход регулятора ко всем статьям закона «О персональных данных». В частности, про сам термин персональных данных говориться, что он является слишком емким, но более подходящего определения они дать не могут.
Свое видение работники Роскомнадзора выразили следующим образом:
«В целом члены рабочей группы согласны в том, что если совокупность данных необходима и достаточна для идентификации лица, такие данные следует считать персональными данными, даже если они не включают в себя данные документов, удостоверяющих личность. При этом данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо»
В данном комментарии приводится ряд примеров персональных данных. Например, паспортные данные, ИНН и СНИЛС. Проблема в том, что на одном из своих семинаров в прошлом году было отмечено, что серия и номер паспорта не являются персональными данными (ПДн), а являются идентификаторами документа. Недавно Минфин заявил, что ИНН так же просто номер записи в реестре, а не ПДн, с чем не соглашается регулятор. Мнение Роскомнадзора очень важно знать и учитывать, но как видим, ему свойственно меняться, и оно не всегда едино у всех инспекторов регулятора.

Также стоит обратиться к судебной практике, чтобы увидеть, в каких конкретных случаях данные были признаны персональными.
1. Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
Определение Верховного Суда РФ от 24.06.15 №18-АПГ 15-7, которое не отменило решение суда первой инстанции и в результате была прекращена деятельность СМИ, которое опубликовало ПДн без получения на то согласия.
2. Паспортные данные.
Постановление Верховного Суда РФ от 15.06.15 №25-АД15-3, которое отменило решение об избыточности обработки ПДн клиента магазином, который запросил паспортные данные для оформления возврата товара.
3. Место работы, должность и политические взгляды.
Определение суда апелляционной инстанции от 28.03.2019 №33-13627/2019, которое подтвердило верность решение суда первой инстанции и определило, что ПДн субъекта на были размещены на сайте истца с нарушением 152-ФЗ.
Также интересно рассмотреть дела, в результате которых было определено, что к ПДн не относится та или иная информация. Например, суд апелляционной инстанции от 02.04.2019 №33-14515/2019 определил, что управляющая компания не нарушала 152-ФЗ, вывешивая на стендах список задолжников. Так как в этих списках были указаны только номер квартиры и размер задолженности. Этой информации по мнению суда недостаточно, чтобы определить принадлежность персональных данных конкретному субъекту.
Данное дело еще важно тем, что суд не принял во внимание материалы с сайта Роскомнадзора, которые были представлены истцом. Объясняется это тем, что суду принадлежит право оценки доказательств по своему внутреннему убеждению, основанному на всестороннем, полном, объективном и непосредственном исследовании имеющихся в деле доказательств.

Помимо изучения мнений и нормативных документов стоит задуматься о том, как на практике выглядит процесс обработки персональных данных. Организация всегда собирает эти данные для идентификации конкретного человека. Если Вы ведете базу клиентов с историей покупок, то данные этой базы являются персональными, так как Вы храните данные о конкретном человеке и в дальнейшем можете адресовать ему свои маркетинговые активности. Такой же подход действует с обработкой данных контрагентов и сотрудников, они собираются с целью получения более подробной информации о человеке и использованию этих данных в своей работе. То есть, сотрудник для решения своих рабочих задач часто запрашивает данные разных лиц (ФИО, номер телефона, адрес, должность, данные о доходах, расходах, платежные данные и т.д.) они все являются персональными, так как нужны не абстрактные данные, а данные конкретного человека. Иначе они будут бесполезны и никак не повлияют на взаимодействие с конкретным лицом.

В итоге, мы имеем ситуацию, когда нет единых и конкретных границ того, что относится к персональным данным. Учитывая букву закона, мнение регулятора и судебную практику можно выстроить процесс, в рамках которого будет проводится обработка данных таким образом, чтобы минимизировать риски организации. То есть организации нужны механизмы, позволяющие оперативно реагировать на изменения в трактовках норм закона, а также профессионально работать с органами Исполнительной и Судебной власти.

Теги: персональные данные, закон, как выполнить требования

«ОФД-Я» — оператор фискальных данных

Политика ООО «Ярус» в отношении обработки персональных данных

ООО «Ярус»

Юридический и фактический адрес:

Фактический адрес: 115280 г. Москва, ул. Ленинская Слобода, д. 19, стр.4

Юридический адрес: 117292, г. Москва, Нахимовский просп., д. 52/27, помещение Б

1. Общие положения

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональ ных данных в ООО «Ярус» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика разработана в соответствии и на основании Конституции Российской Федерации, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Федерального закона от 22.05.2003 N 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и(или) расчетов с использованием электронных средств платежа», а также иных нормативных правовых актов Российской Федерации, локальных актов ООО «Ярус».

1.3. Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений и филиалов ООО «Ярус».

1.4. Действие Политики распространяется на все персональные данные субъектов, получаемые и обрабатываемые ООО «Ярус» с применением средств автоматизации и без применения таких средств.

2. Определения

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блок ирование, удаление, уничтожение персональных данных.

2.3. Субъект персональных данных — любое лицо, персональные данные которого обрабатываются оператором персональных данных.

2.4. Оператор персональных данных — ООО «Ярус».

3. Обработка персональных данных

3.1. О бработка персональных данных осуществляется с учетом следующих требований:

— обработке подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;

— обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— при обработке персональных данных должны быть обеспечены точность и достаточность сведений по отношению к целям обработки персональных данных.

3.2. Содержание и объем обрабатываемых персональных данных определяются исходя из уставных целей деятельности Оператора, на основании и во исполнение требований законодательства РФ, в т. ч. Федерального закона от 22.05.2003 N 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и(или) расчетов с использованием электронных средств платежа».

3.3. К основным категориям субъектов персональных данных, чьи данные обрабатываются и/или могут обрабатываться Оператором в соответствии с целями их получения, относятся физические лица:

лица, состоящие и состоявшие в трудовых и гражданско-правовых отношениях с Оператором и/или контрагентами Оператора;
кандидаты на замещение вакантных должностей;
лица, имеющие граж данско-правовой характер договорных отношений с Оператором, или находящиеся на этапе преддоговорных или выполненных отношений подобного характера;
лица, сообщившие свои персональные данные в процессе взаимодействия с Оператором, в том числе путем подключения к сервисам Оператора и/или подписания юридических документов с Оператором.

3.4. Для указанных категорий субъектов могут обрабатываться сведения, в том числе запрашиваемые на сервисах Оператора, включая, но не ограничиваясь: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес, адрес электронной почты и т. п.), а также иные сведения, необх одимые для целей обработки.

3.5. Оператор вправе обрабатывать персональные данные субъектов, в том числе следующими способами:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распр остранение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.6. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

3.7. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.

4. Меры по обеспечению безопасности персональных данных

4.1. Оператор принимает технические и организационные меры обеспечения безопасности с целью защиты персональных данных от случайного или незаконного уничтожения, потери или изменения, а также от несанкционированного разглашения или доступа к персональным данным.

4.2. Для предотвращения несанкционированного доступа к персональным данным Оператором применяются следующие организационно — технические меры:

назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
ограничение состава лиц, имеющих доступ к персональным данным;
организация учета, хранения и обращения носителей информации;
проверка готовности и эффективности использования средств защиты информации;
разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
регистрация и учет действий пользователей информационных систем персональных данных;
использование средств защиты и средств восстановления системы защиты персональных данных;
организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных.

5. Права субъектов персональных данных

5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ.

5.2. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий письменный запрос Оператору.

5.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных да нных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора , если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

5.4. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства РФ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган или в судебном порядке.

6. Доступ к Политике

6.1. Действующая редакция Политики на бумажном носителе хранится по месту нахождени я исполнительного органа Оператора по адресу: 115280 г. Москва, ул. Ленинская Слобода, д.19, стр.4

6.2. Электронная версия действующей редакции Политики общедоступна на сайте Оператора в сети Интернет: здесь

7. Актуализация и утверждение Политики

7.1. Политика утверждается и вводится в действие руководителем ООО «Ярус».

7.2 Оператор имеет право вносить изменения в настоящую Политику.

8. Ответственность

8.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством РФ, локальными актами Оператора и договорами, регламентирующими правоотношения Оператора с субъектом персональных данных и/или третьими лицами.

9. Заключительные положения

9.1. Оператор вправе вносить изменения и дополнения в настоящую Политику в отношении обработки персональных данных в любое время без предварительного уведомления Пользователей.

При этом субъект персональных данных обязан самостоятельно отслеживать изменения и дополнения в настоящую Политику. В случае несогласия с условиями настоящей Политики и/или отдельных ее положений, а также изменений и дополнений к ней, Оператор просит воздержаться от посещения и использования сервисов Оператора и не предоставлять свои персональные данные. В противном случае Оператор вправе обрабатывать персональные данные в соответствии с Политикой и не несет какой-либо ответственности в связи с этим.

Понятие искусственного интеллекта закреплено в федеральном законе

Одна из экспертов «АГ» отметила, что вводимый законом режим регуляторной песочницы позволяет игнорировать некоторые законодательные ограничения в целях развития новых технологий. Второй счел особенно интересными нововведения в части обработки персональных данных, поскольку в них усматривается забота не только об участниках рынка, но и о рядовых пользователях. Третий эксперт полагает, что с учетом правовой природы регуляторных песочниц следовало бы предоставить госорганам Москвы возможность изменять или не применять отдельные федеральные нормы в случае необходимости.

24 апреля подписан и опубликован Закон № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона “О персональных данных”», согласно которому с 1 июля 2020 г. в Москве начнет действовать специальный правовой режим для более эффективного использования искусственного интеллекта.

Суть нового правового режима

Экспериментальное регулирование вводится на 5 лет не только для разработки и внедрения технологий искусственного интеллекта, но и последующего «возможного использования результатов» применения искусственного интеллекта. Документ, как было указано при внесении законопроекта в Госдуму, разработан во исполнение послания Президента РФ Федеральному Собранию от 15 января 2020 г. для развития технологий искусственного интеллекта (№ 896438-7).

Согласно подп. 2 п. 1 ст. 2 Закона под искусственным интеллектом понимается комплекс технологических решений, позволяющий имитировать когнитивные функции человека и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека. Такой комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру, программное обеспечение, а также процессы и сервисы по обработке данных и поиску решений.

Закон определяет полномочия высшего исполнительного органа государственной власти Москвы, которым на сегодняшний день является правительство города. В частности, к ведению Правительства Москвы отнесено определение порядка и случаев передачи собственниками средств и систем фото- и видеонаблюдения изображений, полученных в публичных интересах, а также при съемке в открытых для свободного посещения местах или на публичных мероприятиях (подп. 1 и 2 п. 1 ст. 152.1 ГК). Кроме того, столичное правительство вправе установить порядок и случаи предоставления доступа к таким средствам и системам фото- и видеонаблюдения органам государственной власти и организациям, осуществляющим публичные функции.

По согласованию с Минкомсвязи Правительство Москвы также сможет регулировать порядок и условия обработки участниками экспериментального правового режима персональных данных, полученных в результате обезличивания, на основании соглашений с уполномоченным органом, а также требования к таким соглашениям. Однако такие персональные данные могут передаваться только участникам экспериментального правового режима (п. 4 ст. 6 Закона). Кроме того, не допускается хранение указанных персональных данных за пределами Москвы (п. 7 ст. 4 Закона).

В интересах экспериментального правового режима скорректирован и Закон о персональных данных. Часть 1 ст. 6 дополнена п. 9.1, согласно которому обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Законом № 123-ФЗ, в порядке и на условиях, которые предусмотрены указанным нормативным актом.

В ст. 10 Закона о персональных данных появилось указание на то, что обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Законом № 123-ФЗ.

Согласно п. 1 ст. 5 Закона о проведении эксперимента лицо приобретает статус участника экспериментального правового режима со дня включения его в соответствующий реестр, который будет вести уполномоченный Правительством Москвы орган. Доступ к реестру сможет получить любое лицо через сайт уполномоченного органа.

Статус участника экспериментального правового режима смогут получить ИП или юрлица, зарегистрированные на территории Москвы, которые осуществляют деятельность по разработке, созданию, внедрению, реализации или обороту технологий искусственного интеллекта, а также по производству, реализации или обороту отдельных товаров (работ, услуг) на основе таких технологий либо планируют заниматься такими видами деятельности. При этом у ИП, лица, осуществляющего функции единоличного исполнительного органа, членов коллегиального исполнительного органа и совета директоров организации не должно быть неснятой или непогашенной судимости за преступления в сфере экономики, а также за преступления средней тяжести, тяжкие и особо тяжкие преступления.

Важно, что принятые в соответствии с Законом № 123-ФЗ нормативные акты Правительства Москвы будут применяться только в отношении участников экспериментального правового режима. При совершении сделок и совершении других юридически значимых действий участник экспериментального правового режима обязан уведомлять тех, кто не имеет такого статуса, о том, что он является участником экспериментального правового режима, и сообщать о применении в отношении него специальных актов московского правительства.

Для формирования стратегических направлений совершенствования механизмов экспериментального правового режима Закон предусматривает создание координационного совета, состав которого определяется Правительством Москвы по согласованию с Правительством РФ.

Закон вступит в силу с 1 июля 2020 г.

Эксперты прокомментировали поправки

Адвокат АА МГКА «Власова и партнеры» Людмила Космовская указала, что закон содержит определение искусственного интеллекта и технологий искусственного интеллекта, чего ранее в российском законодательстве не было. По ее словам, вводимый им режим регуляторной песочницы позволяет игнорировать некоторые законодательные ограничения в целях развития новых технологий. В то же время законодательные акты, которые будут приняты на основании рассматриваемого закона, не должны противоречить федеральному законодательству, заметила эксперт.

«Закон и принятые на его основе нормативные акты будут распространять свое действие только на участников эксперимента, включенных в специальный реестр, но технологии искусственного интеллекта напрямую связаны с персональными данными, потому новые меры могут повлиять на каждого жителя города. Будут ли эти правки носить положительный характер, сказать пока сложно. Будем ждать новых законодательных актов. Главное, не допустить бесконтрольной обработки персональных данных», – добавила она.

Руководитель практики IP/IT Maxima Legal Максим Али полагает, что принятый закон – это только первый шаг в проведении правового эксперимента на территории Москвы. Закон имеет рамочный характер, значительная часть норм (например, посвященных конкретным технологиям) будет устанавливаться подзаконными актами Правительства Москвы, пояснил он.

«Что же мы получили на сегодняшний день? Во-первых, сформулированные на уровне федерального закона дефиниции в сфере искусственного интеллекта, а также цели, задачи и принципы регулирования. Неудивительно, что в числе последних оказалось обеспечение безопасности личности», – заметил Максим Али. Во-вторых, добавил он, определены условия приобретения статуса участника экспериментального режима и ведение реестра таких участников.

«В-третьих, особенно интересны изменения режима обработки персональных данных. Обезличенные данные, обрабатываемые в соответствии с законом, не могут передаваться за пределы круга участников эксперимента. А если эксперимент прекращается или участник выходит из него, данные подлежат уничтожению. Отмечу, что мы давно не встречали законодательных инициатив в сфере персональных данных, где проявлялась бы забота не только об участниках рынка, но и о рядовых пользователях», – заключил эксперт.

Старший юрист Eversheds Sutherland Russia Иван Кайсаров отметил, что принятие данного закона не является инновационным. «В мире есть общепринятая практика так называемых регуляторных песочниц (regulatory sandbox). Идея их в том, чтобы ввести особое правовое регулирование для внедрения и разработки технологий, которые не регулируются действующим законодательством или даже противоречат ему. Нормативная база может не успевать за высокими технологиями, поэтому такие технологии долгое время могут находиться вне правового поля, что не всегда позитивно на них влияет. В иных случаях имеющееся законодательство может блокировать или тормозить развитие и использование новых технологий», – пояснил эксперт.

Калифорнии: что нужно знать работодателям?

Губернатор

Гэвин Ньюсом только что подписал две поправки к Закону о конфиденциальности потребителей Калифорнии (CCPA), которые окажут прямое влияние на работодателей, ведущих бизнес в штате. Новые поправки, подписанные 11 октября 2019 г. и вступающие в силу 1 января 2020 г., требуют, чтобы покрытые компании соответствовали определенному порогу дохода или другим критериям для реализации политик и процедур, которые предоставляют потребителям, в том числе сотрудникам, определенные права на конфиденциальность, ранее недоступные в соответствии с действующий закон.

Первая соответствующая поправка, AB 25, откладывает на один год, до 1 января 2021 года, выполнение всех требований CCPA, касающихся данных сотрудников, за исключением двух: (1) разумных мер безопасности для защиты данных и (2) раскрытия категории собираемой личной информации о сотрудниках и соискателях, а также о деловых целях, для которых эта информация используется. Вторая соответствующая поправка, AB 1355, исключает из сферы действия CCPA до 1 января 2021 года указанные коммуникации или транзакции «бизнес-бизнес».

Несмотря на то, что исполнение закона генеральным прокурором Калифорнии не начнется до 1 июля 2020 года, до крайнего срока соблюдения CCPA осталось всего несколько месяцев. Таким образом, работодатели, ведущие бизнес в Калифорнии, должны немедленно подумать, применяется ли к ним CCPA, и если да, то определить, какие шаги им следует предпринять, чтобы быть к ним готовыми.

Во-первых, немного предыстории: применим ли к вам CCPA?

Прежде чем обсуждать AB 25 и AB 1355, первый вопрос, который вы должны задать, — применим ли CCPA к вам.Единственными покрываемыми предприятиями, которые будут подпадать под действие CCPA, являются те коммерческие предприятия, которые (а) ведут бизнес в Калифорнии, (б) собирают личную информацию потребителей, включая сотрудников, и (в) удовлетворяют любому из следующих трех критериев:

имеют годовой валовой доход более 25 миллионов долларов; ИЛИ
ежегодно получать, продавать или передавать личную информацию 50 000 или более жителей или домашних хозяйств Калифорнии или 50 000 устройств; ИЛИ
получают 50% или более своего годового дохода от продажи личной информации потребителей.

Если вы являетесь некоммерческой организацией, CCPA не применяется к вам, если ваша некоммерческая организация не «контролируется» и не использует общий брендинг с покрываемым бизнесом (например, некоммерческий фонд, созданный крупным бизнесом, который носит тот же бренд и является следовательно, известно, что он связан с этим бизнесом). То же самое и с дочерними предприятиями, не отвечающими указанным выше критериям; если материнская компания подпадает под действие CCPA, все дочерние компании, которые «контролируются» этой материнской компанией и имеют с ней общий бренд, также будут подпадать под действие CCPA.Здесь «контроль» означает владение или право голоса более чем на 50% акций или право избирать большинство директоров, или право осуществлять контролирующее влияние на руководство предприятия.

Если вы не работаете в Калифорнии, вам может быть интересно, что значит «вести бизнес в Калифорнии». CCPA не дает никаких объяснений, и предложенные генеральным прокурором постановления, выпущенные 10 октября 2019 года, также не решают эту проблему.В отсутствие каких-либо законодательных или нормативных указаний это лучше всего рассматривать с точки зрения того, что достаточно для установления личной юрисдикции для передачи бизнеса за пределами Калифорнии в суд штата Калифорния. Для целей покрытия данных о сотрудниках CCPA, если у компании за пределами Калифорнии, которая соответствует порогу дохода или одному из других критериев, есть один сотрудник в штате, эта компания должна соблюдать CCPA в отношении личной информации этого сотрудника. Если компания за пределами Калифорнии активно и напрямую набирает кандидатов для работы в Калифорнии, компания, скорее всего, будет подпадать под действие закона CCPA в отношении личной информации, которую она собирает от кандидатов из Калифорнии.

Работодатели, ведущие бизнес в Калифорнии, которые не достигают порогового уровня дохода в 25 миллионов долларов, могут по-прежнему подпадать под действие закона CCPA, если они получили из любого источника или передали личную информацию 50000 или более сотрудников, соискателей работы или других жителей Калифорнии. последние 12 месяцев. Это включает в себя не только ваших сотрудников и кандидатов на работу, но также информацию о членах семьи и иждивенцев ваших сотрудников, которую вы можете собирать как часть документов о страховании или даже в форме для экстренной связи.

Другой способ потенциально удовлетворить порог в 50 000 — это сбор и отслеживание через свой веб-сайт информации о 50 000 или более устройств, которые использовались для доступа к веб-сайту. Например, малый бизнес, у которого есть веб-сайт со 137 уникальными посещениями в день и который собирает данные об устройствах или потребителях, которые обращаются к сайту, скорее всего, достигнет порогового значения.

Какие отрасли освобождены от уплаты налогов?

Есть некоторые исключения, но они более тонкие, чем полное исключение из CCPA.Например, организация, на которую распространяется действие HIPAA, освобождается от CCPA в отношении информации о пациентах, которая хранится в соответствии с правилами HIPAA, но НЕ освобождается в отношении данных своих сотрудников и соискателей, находящихся в Калифорнии. Аналогичным образом агентство по предоставлению потребительских кредитов или компания по проверке биографических данных освобождаются от CCPA в отношении информации в отчетах потребителей, которые они собирают и предоставляют своим клиентам, но НЕ освобождаются в отношении данных своих собственных сотрудников из Калифорнии и соискатели работы.

Какая информация о сотрудниках покрывается CCPA?

В принятом CCPA не делается различий между сотрудниками и потребителями. «Личная информация» определяется настолько широко, что потенциально охватывает всю информацию, которую вы собираете, храните или передаете о соискателях вакансий, сотрудниках, членах их семей или иждивенцев, которая может идентифицировать человека или использоваться вместе с другой информацией для идентификации личности. .

Это может включать, например, имя сотрудника в сочетании с охраняемой категорией штата или государства, к которой он принадлежит (например, возраст, раса, пол, сексуальная ориентация, религия, инвалидность и т. Д.)). Он также потенциально может включать журналы сетевой или интернет-активности на компьютерах компании, назначенных сотрудникам, которые отображают действия пользователей, такие как поиск и история браузера. Определение «личная информация» также включает широкую категорию «профессиональной или служебной информации» без какого-либо определения или параметров того, что это влечет за собой.

Информация о покрываемых сотрудниках потенциально может включать, например, файлы персонала, ведомости заработной платы (квитанции о заработной плате, табели учета рабочего времени, информацию о прямом депозите, информацию об удержании налогов и т. Д.)), записи медицинского страхования, файлы компенсаций работников и записи об обучении. Если вы предоставляете своим сотрудникам какие-либо компьютеры или устройства компании и собираете информацию об их использовании Интернета на этих устройствах или информацию о геолокации (чтобы отслеживать, куда они идут с устройствами, выпущенными компанией), эта информация также может подпадать под действие закона CCPA.

Как AB 1355 вносит поправки в CCPA?

AB 1355, единогласно принятый законодательным органом, вносит ряд изменений в CCPA.Во-первых, он поясняет, что личная информация не включает информацию, которая была «деидентифицирована». Информация деидентифицируется, когда все идентификаторы, которые хотели бы предоставить информацию человеку, были удалены, например, путем редактирования информации, которая может быть использована для идентификации человека.

Кроме того, AB 1355 разъясняет, что личная информация не включает «совокупную информацию о потребителях», которая определяется как «информация, относящаяся к группе или категории потребителей, из которых были удалены индивидуальные идентификационные данные потребителей, которая не связана или обоснованно связь с любым потребителем или домохозяйством, в том числе через устройство.«В контексте занятости совокупная информация может быть отчетами или электронными таблицами с информацией о группах сотрудников, имена или другие идентификаторы служащих были удалены (например, отчеты EEO-1, демографические отчеты или отчеты о справедливой заработной плате, которые содержат агрегированную информацию для группы сотрудников без их идентификации).

Наконец, AB 1355 указывает, что до 1 января 2021 г. определенные обязательства CCPA не распространяются на личную информацию, отражающую определенные связи или транзакции «бизнес-бизнес».В частности, законопроект исключает обмен информацией или транзакцию между бизнесом и потребителем (включая другой бизнес), когда общение происходит исключительно в контексте бизнеса, проводящего комплексную проверку или предоставляющего или получающего продукт или услугу от этого бизнеса.

Что CCPA требует от покрытого работодателя?

Работодателям не приходится работать, но подписание губернатором AB 25 дает вам годовую отсрочку от выполнения большинства требований CCPA.Покрытые компании теперь должны до 1 января 2021 года выполнить все требования CCPA, за исключением двух.

Во-первых, покрываемые предприятия должны гарантировать, что они внедрили разумные меры безопасности, как физические, так и электронные, для защиты личной информации сотрудников и соискателей. В случае утечки данных в результате неспособности реализовать разумные меры безопасности, затронутый сотрудник может подать индивидуальный иск или коллективный иск и потенциально взыскать от 100 до 750 долларов США на потребителя за каждый инцидент утечки данных или их фактический ущерб, в зависимости от того, что больше.Соответственно, все покрываемые компании должны пересмотреть свои меры электронной и физической безопасности, чтобы убедиться, что они все обновлены. Рекомендуется пройти внешний аудит безопасности независимой консалтинговой фирмой, а не вашим внутренним или сторонним поставщиком ИТ.

Однако до аудита безопасности и для того, чтобы такой аудит был достаточно всеобъемлющим, вам следует заняться «отображением данных», которое включает отображение в живом документе, который постоянно обновляется (1), все элементы личного информация, которую бизнес собирает, сохраняет или делится; (2) где информация физически и в электронном виде хранится; (3) кто в компании имеет доступ к информации; (4) кому информация передается за пределами компании; и (5) бизнес-цели, для которых информация используется или передается.Карта данных поможет аудитору безопасности убедиться в том, что разумные меры безопасности приняты во всех точках доступа и для всех элементов информации, хранящейся в бизнесе.

Во-вторых, 1 января 2020 года останется крайним сроком для требования о раскрытии сотрудникам и соискателям вакансий категорий личной информации, которую вы собираете о них, и целей, для которых эта информация будет использоваться. Это раскрытие должно быть сделано до или во время получения вами личной информации любого сотрудника или соискателя работы.

При раскрытии информации необходимо перечислять не все данные, которые вы собираете о сотруднике, а только категории информации. Для ясности вам следует рассмотреть возможность перечисления примеров информации в каждой категории (например, «Документы для предварительного приема на работу сотрудников, такие как заявления о приеме на работу, резюме, формы и результаты проверки биографических данных, формы и результаты тестов на наркотики, заметки о собеседовании и оценки кандидатов. записи. »).

CCPA предоставляет несколько примеров деловых целей, для которых может храниться информация, и которые покрытые работодатели могут указать в раскрытии.С 1 января 2020 года покрытым работодателям будет запрещено использовать любую личную информацию сотрудников для любых целей, не указанных в раскрытии, предоставляемом сотрудникам. Таким образом, раскрытие информации должно быть как можно более полным с точки зрения определения всех бизнес-целей, для которых эта информация используется. Примеры деловых целей, которые являются общими в контексте занятости, включают следующее:

в соответствии с законами штата и федеральными законами, требующими от работодателей ведения определенных записей;
для эффективного расчета заработной платы;
для администрирования и поддержания группового медицинского страхования, 401K и / или пенсионных планов; и
для управления выполнением сотрудниками своих должностных обязанностей.

В то время как CCPA просто требует, чтобы уведомление о раскрытии информации определяло категории личной информации и деловых целей (что многие практики интерпретировали как два отдельных списка всех категорий, за которыми следуют все деловые цели, для которых может использоваться вся информация) , предлагаемые Генеральным прокурором правила, если они будут приняты, потребуют, чтобы уведомление перечисляло для каждой категории личной информации все бизнес-цели, для которых будет использоваться конкретная категория информации.Ожидается, что предлагаемые правила не станут окончательными до весны 2020 года.

Для действующих сотрудников раскрытие информации может быть сделано им как группе в справочнике для сотрудников или посредством служебной записки для всех сотрудников. Технически не требуется, чтобы сотрудники подписывали подтверждение о получении раскрытия, но практически наличие их подписи будет единственным надежным способом доказать, что они ее получили. Мы часто сталкиваемся с сотрудниками, которые позже отказывают в получении документов политики, чтобы воспользоваться преимуществом в судебном разбирательстве, и этой ситуации легко избежать, получив простую подпись.

Что касается соискателей вакансий, поскольку CCPA требует, чтобы раскрытие информации происходило во время или до транзакции, в которой собирается личная информация, наилучшим подходом является включение раскрытия в заявление о приеме на работу.

Без дальнейших действий, что будет делать покрываемый работодатель к 1 января 2021 г.?

AB 25 не освобождает работодателей от каких-либо требований CCPA, напротив, у работодателей будет дополнительный год для выполнения всех требований, кроме двух, описанных выше.Если исключение не будет продлено законодательным органом в следующем году, CCPA потребует от покрываемых работодателей, среди прочего, выполнения следующих действий до 1 января 2021 г .:

Расширить раскрытие информации, предоставляемой сотрудникам и соискателям вакансий в 2020 году. Помимо описания категорий информации, которую собирает работодатель, и бизнес-целей, для которых он использует эту информацию, раскрытие должно предоставлять им уведомление об их правах в соответствии с CCPA ( включая право доступа, удаления и получения копии информации), укажите, передается ли информация третьим лицам, и укажите категории третьих лиц, с которыми работодатель будет делиться информацией.CCPA запрещает использовать информацию для любых целей, не указанных в раскрытии, а также передавать информацию третьим лицам, имя которых также не указано. Раскрытие может быть изменено.

Внедрите как минимум два метода, с помощью которых сотрудники и соискатели могут отправлять проверяемые «запросы потребителей».

Отслеживайте проверенные запросы потребителей от сотрудников и соискателей и отвечайте в течение 45 дней.Его можно продлить еще на 45 дней.

Опять же, если законодательный орган не расширит освобождение дальше, существует три типа потребительских запросов, которые ваши сотрудники и соискатели будут иметь право подавать в соответствии с CCPA, начиная с 1 января 2021 года: (a) запрос на раскрытие какой личной информации у вас есть сведения об этом человеке или какой информацией вы поделились; (б) запрос на удаление информации; и (c) запрос на доступ или копию некоторой или всей информации, которая должна предоставляться бесплатно.

Третий тип запроса — это наиболее радикальное изменение, которое потенциально может наложить значительное бремя на работодателей. Такие запросы включают запрос копии всей личной информации сотрудника, которую работодатель получил, скомпилировал или поделился за последние 12 месяцев. Поскольку определение «личной информации» является настолько широким, CCPA (без поправок) может разрешать сотрудникам и их адвокатам запрашивать и получать от вас бесплатно намного больше, чем разрешено законом, — значительно больше, чем просто личное дело сотрудника и ведомость заработной платы.Сказать, что это позволяет потенциально оскорбительное и обременительное обнаружение до судебного разбирательства, было бы преуменьшением.

Исключение, созданное в соответствии с AB 25, было ограничено одним годом по просьбе профсоюзов и защитников конфиденциальности, которые указали, что они хотят участвовать в обсуждении в 2020 году проблем, связанных с «конфиденциальностью на рабочем месте» и «наблюдением на рабочем месте». Если в следующем году будет достигнуто соглашение по этим широким вопросам, в бизнес-сообществе есть надежда, что освобождение от CCPA для данных о занятости может быть продлено и дальше.Таким образом, работодатели должны будут следить за обновлениями в следующем году, чтобы узнать, будут ли предоставлены дополнительные льготы или другие требования CCPA будут применяться к работодателям, начиная с 2021 года.

Следующие шаги для работодателей

Поскольку крайний срок соблюдения CCPA быстро приближается, было бы разумно опережать тенденции в политике конфиденциальности, независимо от того, подпадаете ли вы в настоящее время под действие CCPA. Но если вы подпадаете под действие CCPA, то к 31 декабря 2019 г. вам нужно выполнить три задачи, которые практически требуют как можно скорее начать работу: (1) «сопоставление данных» всех данных ваших сотрудников; (2) пройти аудит безопасности, чтобы убедиться, что вы внедрили разумные меры физической и электронной безопасности для защиты частной информации; и (3) составить проект раскрытия информации для сотрудников и соискателей, как описано выше.

Лучше всего работать с консультантом по вопросам конфиденциальности на этих этапах, особенно для того, чтобы вы могли заявить о своей привилегии адвоката и клиента в отношении соответствующих сообщений. Например, аудит безопасности может выявить то, что вы не хотите, чтобы адвокаты истцов узнали; вы не хотите предоставлять им результаты аудита на серебряном блюде в качестве их «Доказательства А.» Если аудит проводится под руководством и с участием юриста, все коммуникации и рабочий продукт, созданные в ходе аудита, скорее всего, не будут обнаружены.

Фишер Филлипс работает консультантом по трудоустройству тысяч работодателей по всей стране. В настоящее время мы консультируем многих калифорнийских работодателей и национальных клиентов, ведущих бизнес в Калифорнии, по вопросам подготовки к CCPA. Для получения совета по закону о конфиденциальности Калифорнии, не стесняйтесь обращаться к любому юристу в любом из наших пяти офисов в Калифорнии.

Новаторский закон о конфиденциальности

Калифорнии вступает в силу в январе. Что оно делает? | Калифорния

В прошлом году Калифорния приняла знаменательный закон о конфиденциальности, который дает потребителям больший контроль над своими данными.Законодательство дает жителям беспрецедентные права контролировать, какую информацию о них собирают компании и как она используется.

Закон о конфиденциальности потребителей Калифорнии вступит в силу 1 января 2020 года, предоставив жителям штата целый новый арсенал инструментов для защиты своих данных и личной информации в Интернете и возложив на бизнес гораздо больше ответственности.

Вот все, что вам нужно знать о «революционном» новом законе Калифорнии о конфиденциальности.

Что такое закон?

Закон о конфиденциальности потребителей Калифорнии, принятый в 2018 году, является «наиболее полным» законодательством о конфиденциальности, которое на сегодняшний день должно быть принято в Соединенных Штатах, по мнению Американской ассоциации адвокатов.

Согласно новым правилам, жители Калифорнии смогут требовать от компаний раскрытия информации о них и запрашивать копию этой информации.

Компании будут вынуждены удалять данные потребителей по запросу, и им будет запрещено продавать информацию, если клиент даст им указание через обязательную ссылку «не продавать» на веб-сайте компании.

Потребители также будут иметь право «получать равные услуги и цену независимо от того, реализуют они свои права на конфиденциальность или нет», или, другими словами, компании не смогут относиться к пользователю по-другому, потому что они запросили их данные.

Когда он вступит в силу?

Закон вступает в силу 1 января — это означает, что потребители могут подавать запросы на предоставление своих данных, начиная с этой даты. Генеральная прокуратура Калифорнии не будет принимать никаких принудительных мер в отношении компаний, которые не соблюдают требования до 1 июля 2020 года.

На какие предприятия это влияет?

Компании будут обязаны соблюдать новые правила, если они имеют годовой валовой доход, превышающий 25 миллионов долларов, получают 50% или более своего годового дохода от продажи личной информации потребителей или ежегодно покупают, получают, продают или передавать личную информацию более чем 50 000 потребителей, домохозяйств или устройств в коммерческих целях.

Это означает, что по крайней мере 500 000 предприятий должны будут соблюдать новый закон, согласно некоммерческой организации International Association of Privacy.

На кого еще это влияет?

Новый закон самым непосредственным образом коснется потребителей Калифорнии. Однако, по словам Питера Яреда, основателя и главного исполнительного директора компании по управлению данными InCountry, даже люди, которые не живут в Калифорнии, могут видеть волновые эффекты.

«Подобные законы действуют во всем мире, поэтому все больше компаний создаются для получения и обработки таких запросов данных», — сказал он.

Я живу в Калифорнии — как я могу получить свои данные?

Потребители могут получить копию своих данных, отправив компании «проверяемый запрос потребителя». Затем компания должна выполнить запрос в течение 45 дней с момента получения. В некоторых случаях компании могут продлить этот период времени максимум на 90 дней.

Потребители могут запрашивать информацию только два раза в год и только в течение 12-месячного периода ретроспективного анализа.

Что произойдет, если компания не предоставит мне мои данные?

Компаниям может грозить штраф в размере от 2500 до 7500 долларов за нарушение нового закона, если нарушение будет признано преднамеренным.Однако CCPA также предоставляет предприятиям 30-дневный период для устранения нарушения после получения запроса потребителя. Закон соблюдается генеральным прокурором Калифорнии.

Чем отличается CCPA от других законов о конфиденциальности?

Закон Калифорнии о конфиденциальности потребителей часто называют «облегченным GDPR», что напоминает Общий регламент ЕС о защите данных, вступивший в силу в мае 2018 года.

GDPR имеет более широкий охват и затрагивает все предприятия, которые обрабатывают пользовательские данные. , в то время как CCPA применяется только к компаниям с валовой выручкой более 25 миллионов долларов, более 50 000 клиентов или чей доход составляет 50% или более на основе пользовательских данных.

CCPA предоставляет более явные варианты «отказа» для пользователей, которые не хотят продавать свои личные данные. Согласно CCPA, компании должны размещать ссылку «Не продавать мою личную информацию» на четком и видном месте на своих веб-сайтах. Для сравнения, согласно GDPR, предприятиям не обязательно нужно согласие человека на сбор и использование данных.

Правила также различаются подходами к сбору данных о детях. Согласно GDPR, родители должны дать согласие на обработку данных детей в возрасте до 16 лет.CCPA требует, чтобы компании получали согласие родителей детей в возрасте 13 лет и младше, в то время как дети старше 13 лет могут предоставить свое согласие.

Что дальше?

Хотя CCPA — самый обширный закон о конфиденциальности, который еще не был принят в США, некоторые защитники говорят, что он не идет достаточно далеко. Перед закрытием периода комментариев по закону 6 декабря некоммерческая организация Electronic Frontier Foundation и другие защитники конфиденциальности подали запрос на усиление регулирования.

Закон в том виде, в каком он написан, не позволяет решить проблему сбора данных, сказала Хейли Цукаяма, юридический адвокат EFF, и в Калифорнии мало ресурсов для обеспечения соблюдения закона в 2020 году.

«Вы имеете право обращаться в компании, которые иметь ваши данные и просить их вернуть, но им не обязательно приходить к вам, чтобы просить их в первую очередь », — сказала она. «Это то, что мы называем включением, а не отказом».

Компании, нарушающие закон, также будут иметь «право на лечение», то есть они могут изменить свою политику нарушения после задержания.

«Мы рассматриваем это как карту освобождения от тюрьмы», — сказал Цукаяма.

ЮАР Закон о конфиденциальности POPIA Вступает в силу 1 июля 2020 г.

Зейн Бхиат из ENSafrica сообщает, что 22 июня 2020 года было объявлено, что 1 июля 2020 года вступит в силу всеобъемлющий закон Южной Африки о конфиденциальности, известный как Закон о защите личной информации («POPIA»). более подробное рамочное законодательство, поддерживающее конституционное право Южной Африки на неприкосновенность частной жизни.

POPIA находится в стадии разработки с тех пор, как она была предназначена для внедрения Комиссией по реформе законодательства Южной Африки в 2005 году. Задержка с его введением в действие была частично связана с публикацией проекта Общего регламента ЕС по защите данных (« GDPR ») в 2013 году, поскольку редакционный комитет POPIA приостановил рассмотрение некоторых из предложенных нововведений в GDPR, а также предпринял шаги для обеспечения того, чтобы южноафриканскому регулятору конфиденциальности (то есть, регулятору информации (SAIR)) было предоставлено возможность развивать операционные возможности.В этом отношении POPIA вступил в силу в течение определенного периода времени, при этом первоначальные положения, позволяющие, среди прочего, учреждение SAIR, вступили в силу 11 апреля 2014 года. На сегодняшний день SAIR предпринял шаги для того, чтобы стать полностью работоспособным. , например, путем публикации нормативных актов, установления кодексов поведения и повышения осведомленности общественности.

POPIA обеспечивает общий механизм защиты информации, применимый к организациям как в государственном, так и в частном секторах.Подобно Директиве ЕС о защите данных 95/46 / EC, POPIA устанавливает восемь условий для законной обработки данных. Этими условиями являются: (1) подотчетность, (2) ограничение обработки, (3) спецификация цели, (4) дальнейшее ограничение обработки, (5) качество информации, (6) открытость, (7) гарантии безопасности и (8) данные. предметное участие.

POPIA применяется к обработке личной информации, внесенной в запись, ответственным лицом, которое обрабатывает информацию в Южной Африке и проживает в Южной Африке, или находится в другом месте, но использует автоматизированные или неавтоматические средства в Южной Африке для обработки персональная информация.POPIA обычно применяется к «ответственным сторонам» (т. Е. К основным обработчикам персональных данных, которые определяют цель и средства обработки), и ограниченные обязательства также распространяются на «операторов» (то есть обработчиков данных).

POPIA содержит открытое определение «личной информации», которое обычно означает информацию, относящуюся к идентифицируемому живому физическому лицу и, где это применимо, идентифицируемой компании или другому аналогичному юридическому лицу. Определение включает информацию, относящуюся к товариществам и лицам без образования юридического лица, и предоставляет значительно подробный список примеров личной информации.Эти примеры варьируются от частной переписки и информации о возрасте, поле, поле и расе до идентификаторов, таких как идентификационные номера, номера телефонов, информация о местоположении, онлайн-идентификаторы, а также личные мнения и предпочтения.

Согласно POPIA ответственная сторона, обрабатывающая личную информацию, должна соблюдать все восемь условий и меры, необходимые для выполнения этих условий. Соответствие должно быть достигнуто не только при фактической обработке информации, но также при определении цели и средств обработки личной информации.

Подотчетность: Это условие требует, чтобы вся обработка данных происходила в соответствии с POPIA. На практике для этого требуется, чтобы была установлена политика защиты данных и чтобы сотрудник по внутренней информации отстаивал цели и соблюдение законодательства.
Ограничение обработки: Персональные данные должны обрабатываться на законных основаниях и разумным способом, который не нарушает конфиденциальность субъекта данных.Ответственная сторона должна разработать процедуры и политики, обеспечивающие обработку личной информации «разумным образом».
Спецификация цели: Среди прочего, это означает, что личная информация может собираться только для законных, конкретных и четко определенных целей, связанных с функцией или деятельностью ответственной стороны, собирающей информацию. Субъекты данных должны быть проинформированы о цели сбора, за исключением исключительных обстоятельств, например, когда ответственная сторона обязана соблюдать обязательство, установленное законом.
Дальнейшее ограничение обработки: После того, как личная информация была собрана и законная обработка произошла, ответственная сторона может продолжить обработку этих данных только в ограниченных обстоятельствах. Эти ограниченные обстоятельства определяются на основе того, «совместима» ли цель дальнейшей обработки с ранее определенной целью.
Качество информации: Ответственная сторона должна гарантировать, что любая личная информация, которой она владеет, является полной, точной, не вводящей в заблуждение и обновляется при необходимости.Поддерживая качество информации, ответственная сторона должна учитывать цель, для которой личная информация собирается или обрабатывается.
Открытость: Ответственная сторона должна составить руководство, содержащее предусмотренную информацию в соответствии с требованиями Закона Южной Африки о содействии доступу к информации 2000 года, включая подробные сведения о содержащейся в нем информации. При сборе личной информации ответственная сторона должна предпринять разумно возможные меры для обеспечения того, чтобы субъект данных был осведомлен о: (1) собираемой информации и источнике информации; (2) имя и адрес ответственной стороны; (3) цель сбора информации; (4) требуется ли от субъекта данных предоставить запрошенную информацию или может ли он это сделать добровольно; (5) последствия непредоставления информации; (6) правовая основа для сбора информации; (7) намеревается ли ответственная сторона передать информацию в третью страну и уровень защиты, предоставляемой переданной информации; и (8) любая дополнительная информация, необходимая для того, чтобы обработка была разумной в данных обстоятельствах.
Меры безопасности: Ответственная сторона должна обеспечивать целостность и конфиденциальность любой личной информации, находящейся в ее распоряжении или под ее контролем, путем принятия надлежащих и разумных технических и организационных мер для предотвращения потери, повреждения, несанкционированного уничтожения и незаконного доступа. к имеющейся у него личной информации.
Участие субъекта данных:
1. Субъект данных имеет право запросить подтверждение того, владеет ли ответственное лицо личной информацией о субъекте данных.Субъект данных также имеет право запросить запись или описание личной информации о субъекте данных, хранящейся у ответственной стороны, а также информацию, касающуюся личности всех третьих сторон, которые имели доступ к личной информации субъекта данных.
2. Субъект данных может потребовать от ответственной стороны:
  1. исправить или удалить личную информацию о субъекте данных, которая является неточной, нерелевантной, чрезмерной, устаревшей, неполной, вводящей в заблуждение или полученной незаконным путем; и
  2. удалить или уничтожить личную информацию, которую ответственная сторона больше не имеет права хранить.

POPIA не предназначен для предотвращения обработки личной информации, а для обеспечения того, чтобы она выполнялась справедливо и без ущемления прав субъектов данных. Учитывая широкое влияние POPIA, прямо предусмотрено, что вся обработка личной информации должна соответствовать положениям POPIA в течение одного года после его начала — 12-месячный льготный период, начинающийся 1 июля 2020 года.

2019 Data Breaches — The Morst Breaches, So Far

Знаете ли вы, что каждая третья жертва утечки данных позже становится жертвой преступления, связанного с использованием личных данных? К настоящему времени можно с уверенностью предположить, что по крайней мере часть вашей личной информации (PII) была скомпрометирована в результате взлома.

Именно по этой причине IdentityForce отслеживает все основные нарушения в течение последних 5 лет и будет продолжать это делать.Проверяйте почаще, чтобы быть в курсе последних инцидентов, произошедших в 2019 году, и читайте наши ресурсы по защите данных, чтобы оставаться в безопасности.

Примечание. Этот пост будет постоянно обновляться новой информацией по мере появления сообщений о дополнительных утечках данных за 2019 год. Нарушения отображаются в порядке убывания, самые последние — внизу страницы.

Вас также может заинтересовать:

Blur

2 января 2019 г .: Первое объявление о серьезном нарушении в 2019 году не заняло много времени.Blur объявил о взломе после того, как незащищенный сервер раскрыл файл, содержащий 2,4 миллиона имен пользователей, адреса электронной почты, подсказки паролей, IP-адреса и зашифрованные пароли. Компания по управлению паролями призвала своих пользователей изменить свои учетные данные для входа в Blur и включить двухфакторную аутентификацию.

Город Салем Видеоигры

3 января 2019 г .: Информация о 7,6 миллиона игроков была украдена во время взлома города Салем. BlankMediaGames (BMG) объявила, что ее сервер был взломан, и были раскрыты имена пользователей, адреса электронной почты, IP-адреса, активность в играх и на форуме, а также приобретенные игровые премиум-функции.

DiscountMugs.com

4 января 2019 г .: Интернет-магазин кружек и одежды на заказ DiscountMugs.com был взломан на четырехмесячный период во второй половине 2018 года. Компания объявила об обнаружении вредоносной карты. код скимминга, размещенный на его платежном сайте. Хакеры смогли украсть полные данные платежной карты (номер, защитный код и срок действия), имена, адреса, номера телефонов, адреса электронной почты и почтовые индексы.

BenefitMall

7 января 2019 г .: U.BenefitMall, поставщик услуг по расчету заработной платы, кадров и работодателей, объявила об утечке данных, которая произошла после того, как фишинговая атака по электронной почте скомпрометировала учетные данные сотрудников. Хотя точное количество обнаруженных записей не разглашается, электронные письма могли содержать имена клиентов, адреса, номера социального страхования, даты рождения, номера банковских счетов и информацию об уплате страховых взносов.

OXO

10 января 2019 г .: Производитель из Нью-Йорка, OXO был взломан в двух отдельных инцидентах за последние два года, в результате чего была раскрыта информация о клиентах, размещенная на их веб-сайте.Компания обнаружила на своем сайте несанкционированный код, который захватил имена клиентов, адреса выставления счетов и доставки, а также информацию о кредитных картах.

Managed Health Services (MHS) Индианы

11 января 2019 г .: В результате фишинговой атаки была раскрыта личная медицинская информация более чем 31 000 пациентов Managed Health Services of Indiana. Имена, номера страховых идентификаторов, адреса, даты рождения и состояние здоровья относятся к числу потенциально скомпрометированных данных.

Fortnite

16 января 2019 г .: Недостаток в онлайн-видеоигре Fortnite сделал игроков уязвимыми для взлома. По данным охранной фирмы Check Point, обнаружившей уязвимости, злоумышленник может завладеть учетной записью любого игрового игрока, просмотреть информацию о его личной учетной записи, купить В-баксы (внутриигровую валюту) и подслушивать игровую болтовню. У Fortnite 200 миллионов пользователей по всему миру, 80 миллионов из которых активны каждый месяц.

Департамент ценных бумаг Оклахомы

17 января 2019 г .: Миллионы правительственных файлов, включая записи, относящиеся к расследованиям ФБР, остались незащищенными на сервере открытого хранилища, принадлежащем Департаменту ценных бумаг Оклахомы (ODS).Самые старые записи относятся к 1986 году и варьируются от личных данных до учетных данных и записей внутренней связи.

Коллекция 1

17 января 2019 г .: Исследователь безопасности Трой Хант обнаружил на сайте облачного хранилища MEGA огромную базу данных, содержащую 773 миллиона адресов электронной почты и 22 миллиона уникальных паролей, собранных в результате тысяч различных взломов, начиная с 2008 года. Информация была размещена на популярном хакерском форуме, где ими можно было поделиться с другими кибер-ворами.Если вы обеспокоены тем, что ваши учетные данные могут быть скомпрометированы, посетите сайт Have I Been Pwned?

BlackRock Inc.

22 января 2019 г .: Информация о 20 000 финансовых консультантов была просочена через крупнейшего в мире управляющего активами BlackRock. Компания разместила конфиденциальные коммерческие документы, касающиеся консультантов, работающих с подразделением BlackRock iShares. Имена, адреса электронной почты и активы, которыми управляют консультанты, были среди раскрытой информации.

Graeters Ice Cream

22 января 2019 г .: Поставщик сладостей из Цинциннати, компания Graeter’s Ice Cream, уведомила около 12 000 клиентов, которые приобрели товары в интернет-магазине компании.На странице оформления заказа был обнаружен вредоносный код, который мог фиксировать имена клиентов, адреса, номера телефонов, номера факсов, тип платежной карты, номера платежных карт, даты истечения срока действия и коды подтверждения.

Сайты онлайн-ставок

23 января 2019 г .: Три сайта онлайн-ставок скопировали данные, содержащие 108 миллионов записей, в облачное хранилище Elasticsearch, не защищая их. Если вы делали ставки через kahunacasino.com, azur-casino.com, easybet.com или viproomcasino.net, вероятно, была раскрыта ваша информация, включая имена, адреса, номера телефонов, адреса электронной почты, даты рождения, имена пользователей, остатки на счетах, IP-адреса, сведения о браузере и ОС, сыгранные игры, а также информацию о выигрышах и проигрышах.

Ascension

23 января 2019 г .: Более 24 миллионов ипотечных и банковских документов оставались незащищенными в онлайн-базе данных в течение как минимум двух недель. Согласно отчету TechCrunch, утечка данных была прослежена до Fort-Worth, штат Техас, Ascension, аналитической компании, обслуживающей отрасль финансовых услуг.Документы включали имена людей, адреса, даты рождения, номера социального страхования и финансовую информацию.

Департамент здравоохранения и социального обеспечения Аляски (DHSS)

23 января 2019 г .: В результате кибератаки, нацеленной на Управление государственной помощи Аляски, были обнаружены данные не менее чем о 100 000 человек. Злоумышленник смог получить доступ к именам, номерам социального страхования, датам рождения, адресам, медицинской информации и доходам людей, подавших заявки на участие в государственных программах.

Rubrik

29 января 2019 г .: Провайдер ИТ-безопасности и управления облачными данными, Rubrik раскрыл огромную базу данных, содержащую информацию о клиентах, включая имена, контактную информацию и другие детали, связанные с корпоративными учетными записями. Утечка данных была обнаружена на незащищенном сервере Amazon Elasticsearch, для которого не требовался пароль.

Critical Care, Pulmonary & Sleep Associates (CCPSA)

31 января 2019 г .: Пациентам медицинского учреждения в Колорадо была раскрыта личная медицинская информация после того, как сотрудники CCPSA подверглись фишинговой атаке.Около 23 000 человек были уведомлены о нарушении, включая имена, медицинскую информацию, даты рождения, адреса, номера социального страхования и водительские права.

Houzz

1 февраля 2019 г .: Популярный стартап по благоустройству дома, Houzz объявил об утечке данных, затрагивающей пользователей платформы. В заявлении компании говорится, что такая информация, как имена, город, штат, страна, описание профиля, имя пользователя и хешированные пароли, была взята неавторизованной третьей стороной.

Медицинский центр долины Катоба

4 февраля 2019 г .: Пациенты медицинского центра долины Катавба в Северной Каролине получили свои имена, даты рождения, номера социального страхования и личную медицинскую информацию (PHI) в результате кибератаки. В период с июля по август 2018 года в результате фишингового мошенничества были взломаны три учетные записи электронной почты сотрудников. Пострадало около 20 000 пациентов.

Huddle House

4 февраля 2019 г .: POS-системы компании U.Сеть ресторанов Huddle House, базирующаяся в S., была взломана через систему стороннего поставщика, что дало хакерам возможность установить вредоносное ПО для сбора информации о платежных картах клиентов в период с августа 2017 года по февраль 2019 года.

EyeSouth Partners

февраль 6, 2019: Более 24000 пациентов компании EyeSouth Partners из Джорджии получили уведомление о нарушении. Взлом произошел после того, как неавторизованная третья сторона получила доступ к учетной записи электронной почты сотрудника — тенденция, которую мы слишком часто наблюдаем в последнее время.Имена пациентов, информация о медицинском страховании и некоторая информация о балансе счета были скомпрометированы.

Dunkin ’Donuts

12 февраля 2019 г .: Второй раз за три месяца Dunkin’ Donuts объявила об утечке данных, затрагивающей участников программы DD Perks. Хакеры использовали атаки с заполнением учетных данных, чтобы получить доступ к учетным записям клиентов, и продавали их в Dark Web с целью получения прибыли.

Coffee Meets Bagel

14 февраля 2019 г .: Любовь не витала в воздухе для пользователей приложения для знакомств Coffee Meets Bagel, объявивших об утечке данных в День святого Валентина.Были раскрыты имена и адреса электронной почты всех пользователей, которые зарегистрировались до мая 2018 года, что затронуло примерно 6 миллионов человек.

500px

15 февраля 2019 г .: Учетные записи 14,8 миллиона пользователей 500px были взломаны, в результате чего были обнаружены полные имена, имена пользователей, адреса электронной почты, даты рождения, местонахождение и пол. Сайт обмена фотографиями уведомил своих пользователей и требует сброса пароля.

North Country Business Products

19 февраля 2019 г .: Утечка данных, затронувшая North Country Business Products, поставщика услуг по обработке кредитных карт, затронула как минимум 50 предприятий в штате Аризона.У клиентов любого из следующих предприятий в период с 3 по 24 января 2019 года были скомпрометированы их имя, номер кредитной карты, срок действия и CVV.

Advent Health

20 февраля 2019 г .: Пациенты медицинской группы Advent Health из Флориды получают уведомление о 16-месячной утечке данных. Приблизительно 42000 человек получили доступ к конфиденциальной личной и медицинской информации, включая истории болезни, информацию о страховании, номера социального страхования, имена, номера телефонов и адреса.

Coinmama

20 февраля 2019 г .: Имена пользователей и хешированные пароли 450000 пользователей Coinmama были недавно размещены в реестре даркнета. Брокер криптовалюты уведомил своих клиентов и призвал всех пользователей изменить свои пароли.

UW Medicine

20 февраля 2019 г .: Около 1 миллиона пациентов были уведомлены об утечке данных UW Medicine, обнаруженной 26 декабря 2018 г. Уязвимость на сервере веб-сайта сети здравоохранения раскрыла защищенную медицинскую информацию, включая имена , номера медицинских карт и описание информации о каждом человеке.

UConn Health

22 февраля 2019 г .: При другом серьезном нарушении данных в университетском медицинском учреждении, пациенты UConn Health оказались раскрыты своей личной информацией после того, как третья сторона получила доступ к учетным записям электронной почты сотрудников. В результате взлома пострадали около 326 000 человек, в результате которого были скомпрометированы имена, даты рождения, адреса, номера социального страхования и ограниченная медицинская информация.

Dow Jones

1 марта 2019 г .: База данных, содержащая 2 418 862 идентификационных данных государственных чиновников и политиков из всех стран мира, была просочена в сеть из списка наблюдения Dow Jones.Список наблюдения составляется на основе общедоступной информации об известных лицах, которые имеют возможность хищать деньги, принимать взятки или отмывать деньги.

Медицинский центр Университета Раша

4 марта 2019 г .: Около 45 000 пациентов системы здравоохранения Rush из Чикаго были раскрыты в результате утечки данных. Имена, адреса, дни рождения, номера социального страхования и информация о медицинском страховании были скомпрометированы после того, как сотрудник раскрыл документы для выставления счетов неавторизованной третьей стороне.

План Health Alliance

6 марта 2019 г .: Защищенная медицинская информация 120000 пациентов была раскрыта в результате утечки данных плана Health Alliance Plan. Имена, адреса, даты рождения, идентификационные номера участников, имена поставщиков медицинских услуг, идентификационные номера пациентов и информация о заявках были скомпрометированы после того, как атака вымогателей проникла в Wolverine Solutions Group, стороннего поставщика, который управляет почтовыми службами сети.

Pasquotank-Camden Emergency Medical Services

12 марта 2019 г .: Приблизительно 20 420 человек пострадали в результате кибератаки на базирующуюся в Северной Каролине компанию скорой медицинской помощи Pasquotank-Campden Emergency Medical Services.На сервер биллинговой информации компании проникла неавторизованная третья сторона, что привело к раскрытию номеров социального страхования, дат рождения и медицинской информации.

Spectrum Health Lakeland

15 марта 2019 г .: Компания Spectrum Health Lakeland из Мичигана объявила, что она также пострадала от взлома Wolverine Services Group, поставщика почты, работающего с несколькими сетями здравоохранения. Приблизительно 60 000 пациентов получили доступ к своим именам, адресам, предоставленным медицинским услугам, медицинской страховке и платежной информации.

Региональный медицинский центр Ратленда

19 марта 2019 г .: В результате утечки данных из Регионального медицинского центра Ратленда была раскрыта личная информация более 72000 пациентов. Имена пациентов, контактная информация, номера медицинских карт и 3683 номера социального страхования были скомпрометированы после незаконного доступа к учетным записям электронной почты нескольких сотрудников.

Zoll Medical

20 марта 2019 г .: В результате утечки данных Zoll Medical была раскрыта личная информация 277 319 пациентов.Производитель медицинского оборудования со штаб-квартирой в Челмсфорде, Массачусетс, объявил, что во время миграции сервера произошла утечка данных из электронных писем, включая имена, адреса, даты рождения и медицинскую информацию. Некоторым пациентам также был открыт их SSN.

MyPillow & Amerisleep

21 марта 2019 г .: Розничные продавцы постельных принадлежностей MyPillow и Amerisleep взломали Magecart, хакерский синдикат, нацеленный на веб-сайты электронной коммерции с программным обеспечением для снятия кредитных карт.Хакеры также создали фиктивный URL-адрес, чтобы обмануть покупателей, допустивших опечатку при попытке зайти на сайт.

Facebook

21 марта 2019 г .: Facebook признал, что с 2012 года не обеспечивает надлежащую защиту паролей 600 миллионов пользователей. Эти пароли хранились в виде обычного текста и были доступны более чем 20 000 сотрудников компании. Если вы используете Facebook, измените свой пароль.

Департамент социальных служб штата Орегон (DHS)

21 марта 2019 г .: Департамент социальных служб штата Орегон объявил об утечке данных после того, как девять его сотрудников щелкнули фишинговую ссылку, в результате чего было скомпрометировано почти 2 миллиона электронных писем.Эти электронные письма могли содержать имена, адреса, даты рождения, номера социального страхования и другую информацию о 1,6 миллиона клиентов.

Федеральное агентство по чрезвычайным ситуациям (FEMA)

22 марта 2019 г .: Личные данные выживших, которые обратились за помощью в убежище после ураганов Мария и Ирма, а также лесных пожаров в Калифорнии, были раскрыты в ходе инцидента с конфиденциальностью FEMA. Примерно 2,5 миллиона жертв стихийного бедствия получили такую информацию, как имена и адреса, данные банковского счета и даты рождения, переданные подрядчику, что сделало их незащищенными.

Family Locator

23 марта 2019 г .: Приложение для отслеживания, которое позволяет членам семьи отслеживать местонахождение друг друга в режиме реального времени, Family Locator утекло данные, раскрывая более 238 000 пользователей. Местоположение пользователей было оставлено доступным на незащищенном сервере и включало дополнительную информацию, такую как имя, адрес электронной почты, фото профиля и пароли.

Milestone Family Medicine

25 марта 2019 г .: Имена, адреса, даты рождения, информация о медицинском страховании, номера социального страхования и служебная информация 32 178 пациентов могли быть украдены в результате утечки данных Milestone Family Medicine.

Verity Health Systems

26 марта 2019 г .: Хакер получил доступ к трем учетным записям электронной почты сотрудников Verity Health Systems, поставив под угрозу защищенную медицинскую информацию 14 894 пациента. К конфиденциальным данным относятся имена, идентификационные номера пациентов, даты рождения, адреса, номера телефонов, информация о медицинском страховании, платежная информация, водительские права и номера социального страхования.

Earl Enterprises

29 марта 2019 г .: Компания-учредитель Buca di Beppo, Earl of Sandwich, Planet Hollywood, Chicken Guy !, Mixology и Tequila Taqueria, Earl Enterprises объявила о взломе своих платежных систем после обнаружения вредоносного ПО, которое украл информацию о кредитной и дебетовой карте клиента.Пострадало более 2 миллионов клиентов.

Verifications.io

29 марта 2019 г .: База данных, контролируемая компанией Verification.io по проверке электронной почты, была обнаружена на незащищенном сервере, доступном любому, кто знал, где искать. Почти 1 миллиард учетных записей электронной почты, а также другая личная информация, были раскрыты в результате одной из крупнейших когда-либо зарегистрированных утечек данных из одного источника. Компания, похоже, закрыла свои двери после того, как стало известно о взломе.

Технологический институт Джорджии

2 апреля 2019 г .: Хакер получил доступ к личной информации нынешних и бывших преподавателей, студентов, сотрудников и абитуриентов Технологического института Джорджии через центральную базу данных. База данных, пострадавшая от взлома, включает имена, адреса, номера социального страхования и даты рождения 1,3 миллиона человек. Это второе нарушение университета менее чем за год.

Facebook

2 апреля 2019 г .: Два сторонних приложения, хранящие наборы данных Facebook, остались открытыми для общественности в Интернете.Через Cultura Colectiva было раскрыто более 540 миллионов записей, включая имена учетных записей, идентификаторы Facebook и действия пользователей. Второе приложение, At the Pool, раскрыло пароли вместе с информацией о фотографиях, событиях, группах, проверках и многом другом.

Baystate Health

8 апреля 2019 г .: Примерно 12 000 пациентов больницы Baystate Health в Спрингфилде, штат Массачусетс, были раскрыты после того, как фишинговая атака скомпрометировала учетные записи электронной почты нескольких сотрудников.Имена пациентов, даты рождения, информация о здоровье и некоторые номера Medicare и Social Security были причастны к этой утечке медицинских данных.

Prisma Health

10 апреля 2019 г .: Фишинговая атака на Prisma Health из Южной Каролины дала хакерам несанкционированный доступ к нескольким учетным записям электронной почты сотрудников. В ходе расследования атаки было установлено, что 23 811 пациентов получили доступ к защищенной медицинской информации, включая имена, информацию о медицинском страховании, номера социального страхования и финансовую информацию.

Город Таллахасси

15 апреля 2019 г .: Около 500 000 долларов из заработной платы сотрудников города Таллахасси были украдены хакерами, которые перенаправили прямые депозиты на неавторизованный счет. Городские власти, ответственные за расследование инцидента, подозревают, что кибератака была совершена из иностранного государства.

Microsoft Email Services

15 апреля 2019 г .: В заявлении для TechCrunch Microsoft признала нарушение данных своих некорпоративных почтовых служб, включая @msn.com, @ hotmail.com и @ outlook.com. Взлом, который длился с 1 января по 28 марта 2019 года, позволил хакерам получить доступ к учетным записям электронной почты, злоупотребляя порталом поддержки клиентов Microsoft.

Шаги к выздоровлению

19 апреля 2019 г .: Пациентам, обращающимся за лечением от злоупотребления наркотиками и алкоголем, была раскрыта их конфиденциальная личная информация в результате утечки данных в нескольких реабилитационных центрах. Данные были обнаружены незащищенными исследователем безопасности Джастином Пэйном.Пострадало около 145 000 пациентов.

EmCare

20 апреля 2019 г .: Около 60 000 пациентов и сотрудников EmCare Флориды были уведомлены об утечке данных после того, как третья сторона получила доступ к учетным записям электронной почты нескольких сотрудников. Эти учетные записи электронной почты содержали личную информацию, включая имена, даты рождения, возраст, клиническую информацию, а также номера социального страхования и водительских прав.

Bodybuilding.com

22 апреля 2019 г .: Крупнейший интернет-магазин пищевых добавок, бодибилдинг.com объявила об утечке данных, которая потенциально затронула 7 миллионов зарегистрированных пользователей. С тех пор компания принудительно сбросила пароль и уведомила своих клиентов. Информация, которая могла быть украдена хакерами, включает имена, адреса электронной почты, адреса для выставления счетов / доставки, номера телефонов, историю заказов, дату рождения и информацию, содержащуюся в профилях BodySpace.

Atlanta Hawks

25 апреля 2019 г .: Magecart, печально известный хакерский синдикат, известный своей нацеленностью на интернет-магазины, взломал сайт электронной коммерции Atlanta Hawks НБА.Хакеры установили на сайте скимминговый код кредитной карты, похитив имена, даты рождения и данные платежных карт всех, кто делал покупки на сайте после 20 апреля 2019 года.

Docker Hub

29 апреля 2019 г .: Пользователи были уведомлены о взломе данных Docker Hub после того, как хакеры раскрыли информацию о 190 000 владельцев учетных записей. Компания предлагает облачные сервисы для разработчиков приложений и программистов. Информация, украденная в результате взлома, включает имена пользователей, хешированные пароли, токены Github и Bitbucket.

Неизвестно

29 апреля 2019 г .: До 65% домашних хозяйств в США раскрывали информацию с помощью незащищенной базы данных, размещенной на облачном сервере Microsoft. Хотя владелец данных неизвестен, имена, адреса, географическое положение, возраст, даты рождения и другая демографическая информация были скомпрометированы более чем у 80 миллионов домашних хозяйств. VPNMentor, исследовательская группа которого обнаружила нарушение, просит помочь определить, кому принадлежит база данных.

Ladders

1 мая 2019 г .: Сайт по трудоустройству Ladders опубликовал данные 13.7 миллионов пользователей через незащищенную базу данных, которая была оставлена открытой без пароля. Потребители, которые использовали сайт для поиска работы, получили свои имена, адреса электронной почты, историю занятости и данные о заработной плате. Многие пользователи включали данные своего резюме, разрешения на работу и даже статус допуска. В незащищенной базе данных также содержится информация о почти 380 000 вербовщиков.

Citrix

2 мая 2019 г .: В письме потенциальным жертвам утечки данных Citrix сообщила, что хакеры получили доступ к внутренним системам компании в период с октября 2018 г. по март 2019 г.Американская компания-разработчик программного обеспечения расследует кибер-вторжение с помощью ФБР, но считает, что украденные данные могут включать номера социального страхования, финансовую информацию и другие данные о нынешних и бывших сотрудниках.

AMC Networks

3 мая 2019 г .: Личная информация 1,6 миллиона подписчиков платформ потокового видео премиум-класса AMC Network, Sundance Now и Shudder, была раскрыта после того, как база данных компании стала общедоступной.Взлом включал имена, адреса электронной почты, подробную информацию о планах подписки и последние четыре цифры кредитных карт. Открытая база данных также включала данные видеоаналитики, собранные Youbora, добавляя 441943 открытых записи, включая IP-адреса пользователей, страну, город, штат, почтовый индекс и координаты местоположения.

Wyzant

7 мая 2019 г .: Рынок онлайн-обучения с более чем двумя миллионами зарегистрированных пользователей и 80 000 инструкторов, Wyzant объявил о нарушении данных о клиентах.Хакеру удалось взломать одну из баз данных компании, взломав имена, адреса электронной почты, почтовые индексы и изображения профилей Facebook тех, кто использует единый вход для входа в свою учетную запись Wyzant.

Freedom Mobile

9 мая 2019 г .: Утечка данных Freedom Mobile затронула примерно 1,5 миллиона клиентов после того, как база данных с информацией была обнаружена незащищенной на сервере Elasticsearch. Канадская телекоммуникационная компания раскрыла имена клиентов, адреса электронной почты, номера телефонов, физические адреса, даты рождения, номера счетов и информацию о кредитных картах.

Pacers Sports & Entertainment (PSE)

13 мая 2019 г .: Юридическое лицо, стоящее за баскетбольной командой Indiana Pacers, Pacers Sports & Entertainment (PSE), недавно объявило, что фишинговая рассылка электронной почты создала нарушение безопасности конфиденциальной информации. Число пострадавших до сих пор неизвестно, но раскрытая информация может включать имена, адреса, дату рождения, номера социального страхования, номера паспортов, информацию о медицинском страховании, номер водительских прав, номер счета, номер платежной карты, цифровую подпись и имя пользователя. и пароль.PSE не сообщила, принадлежала ли раскрытая информация сотрудникам или клиентам.

Uniqlo

13 мая 2019 г .: Крупнейший розничный торговец в Азии Fast Retailing Co. сообщил, что хакеры могли получить доступ к именам, адресам и частичной информации о кредитных картах до 460 000 покупателей Uniqlo. Компания призывает клиентов изменить свои учетные данные для входа.

14 мая 2019 г .: Facebook столкнулся с очередным скандалом с конфиденциальностью данных из-за утечки данных в WhatsApp.Приложение для обмена сообщениями, которое насчитывает более 1,5 миллиарда пользователей по всему миру, столкнулось с уязвимостью безопасности, которая сделала людей уязвимыми для шпионского ПО, разработанного NSO Group, израильским правительственным агентством по наблюдению. За пострадавшими могли шпионить через микрофон и камеру своего телефона, сообщения WhatsApp и подключенные приложения.

Instagram

20 мая 2019 г .: Более 49 миллионов влиятельных лиц Instagram, знаменитостей и брендов раскрыли свою личную контактную информацию после того, как индийская маркетинговая компания в социальных сетях оставила данные незащищенными в базе данных Amazon Web Services.TechCrunch сообщил, что были раскрыты биография, фото профиля, местоположение, статус проверки, адрес электронной почты и номер телефона известных аккаунтов.

Inmediata Health Group

23 мая 2019 г .: Веб-сайт медицинской компании Inmediata был взломан после того, как настройки позволили поисковым системам индексировать внутренние страницы, содержащие данные пациентов. Возможно, были раскрыты имена, адреса, даты рождения, пол, медицинская информация и номера социального страхования более 1,5 миллиона человек.Компания уведомила пострадавших.

First American Financial Corp.

24 мая 2019 г .: Массовая утечка данных, содержащих 885 миллионов личных и финансовых записей, была обнаружена незащищенной на веб-сайте First American Financial Corp. рынок недвижимости, открытые номера социального страхования потребителей, номера банковских счетов, ипотечные и налоговые отчеты, банковские квитанции о транзакциях и изображения водительских прав, датированные 2003 годом.Неясно, получили ли злоумышленники доступ и украли какие-либо данные, которые оставались незащищенными и доступными для всех, у кого был URL-адрес, более двух лет.

Canva

24 мая 2019 г .: Популярный инструмент онлайн-дизайна Canva был взломан, в результате чего подверглись риску 139 миллионов пользователей. Хакеры украли имена пользователей, настоящие имена и адреса электронной почты клиентов Canva. Компания призывает всех пользователей изменить свои пароли в качестве меры предосторожности.

Flipboard

29 мая 2019 г .: Flipboard объявила, что была взломана после несанкционированного доступа третьей стороны к базам данных, содержащим информацию о пользователях.Имена, имена пользователей, адреса электронной почты и зашифрованные пароли входят в число данных, которые могли быть украдены. У Flipboard 150 миллионов пользователей в месяц.

Checkers

29 мая 2019 г .: В более чем 100 ресторанах Checkers и Rally были взломаны торговые точки, в результате чего была нарушена полная информация о платежных картах клиентов. Ресторан обнаружил атаку в апреле 2019 года, но обнаружил, что 15 процентов систем его местоположения были скомпрометированы в течение многих лет.

Quest Diagnostics

3 июня 2019 г .: В результате утечки данных Quest Diagnostics было выявлено около 12 миллионов пациентов.Взлом произошел после того, как хакеры взяли под свой контроль страницу платежей AMCA, одного из поставщиков платежных услуг Quest, в период с августа 2018 года по март 2019 года. Вероятно, были украдены данные финансовых счетов, номера социального страхования и информация о здоровье.

LabCorp

4 июня 2019 г .: Через день после того, как Quest Diagnostics сообщила об утечке данных, LabCorp сообщила, что 7,7 миллиона ее клиентов также пострадали от того же взлома. Однако записи о клиентах LabCorp были менее конфиденциальными и содержали имена, адреса, даты рождения и информацию о балансе.

Opko Health

6 июня 2019 г .: Другая компания, связанная со здравоохранением, пострадала от взлома American Medical Collection Agency (AMCA), который поставил под угрозу Quest Diagnostics и LabCorp. Opko Health объявила об утечке данных, затронувшей 422 600 клиентов. Была раскрыта информация о кредитной карте и банковском счете, адреса электронной почты, адреса, номера телефонов и информация о балансе.

Emuparadise

10 июня 2019 г .: IP-адрес, имя пользователя и пароль более 1,1 миллиона пользователей игрового веб-сайта Emuparadise были раскрыты в результате утечки данных.Этот инцидент безопасности произошел из-за форума сайта vBulletin.

Служба таможенного и пограничного контроля США

10 июня 2019 г .: Изображения лиц и номерных знаков путешественников были скомпрометированы в результате кибератаки на подрядчика Службы таможенного и пограничного контроля США. Агентство сообщило, что менее 100 000 человек пострадали при входе и выходе из пункта пропуска через границу.

Evite

11 июня 2019 г .: Более 100 миллионов пользователей компании Evite, занимающейся онлайн-планированием мероприятий, выставили свою информацию на продажу в даркнете.Хакер, известный под именем Gnosticplayers, опубликовал имена пользователей, адреса электронной почты, IP-адреса и пароли в открытом виде. В некоторых случаях также указывались даты рождения, номера телефонов и почтовые адреса.

Всего регистрации

11 июня 2019 г .: Неправильная конфигурация службы хранения файлов Amazon S3 потенциально скомпрометировала информацию студентов, которые зарегистрировались на экзамены, такие как PSAT и Advanced Placement. Total Registration, координатор регистрации на экзамены из Кентукки, признал, что речь идет об именах учащихся и родителей, датах рождения, языках, уровне обучения, поле, студенческом удостоверении и некоторых номерах социального страхования.

Evernote

12 июня 2019 г .: Уязвимость в расширении Evernote Web Clipper для Chrome предоставила хакерам доступ к онлайн-данным его 4,6 миллиона пользователей. Злоумышленники могли получить доступ к аутентификации, финансовым данным, частным сообщениям и многому другому, воспользовавшись уязвимостью в коде Evernote. С тех пор компания исправила проблему, но неясно, как долго пользовательские данные могли быть скомпрометированы.

EatStreet

18 июня 2019 г .: Несанкционированное третье лицо взломало системы популярной службы доставки еды EatStreet.Хакеру удалось украсть данные клиентов, включая имена, номера телефонов, адреса электронной почты, банковские счета и номера маршрутизации, полную информацию о платежных картах и адреса для выставления счетов. Хотя точно неизвестно, сколько клиентов пострадали, хакер утверждает, что получил информацию о 6 миллионах пользователей.

Департамент социальных служб штата Орегон

18 июня 2019 г .: Сотрудники DHS штата Орегон подверглись фишинговой атаке, которая дала киберпреступникам контроль над их учетными записями электронной почты.Было обнаружено до 2 миллионов электронных писем, содержащих полные имена, адреса, даты рождения, номера социального страхования, номера дел, информацию о здоровье и другие данные для ведения учета.

Desjardins

20 июня 2019 г .: Данные о 2,7 млн физических лиц и 173 000 предприятий были украдены сотрудником Desjardins. Desjardins — крупнейший кредитный союз Канады, который уволил указанного сотрудника после сдерживания инцидента. Были скомпрометированы имена, даты рождения, номера социального страхования, адреса, номера телефонов, адреса электронной почты.

Dominion National

26 июня 2019 г .: В результате утечки данных Dominion National была раскрыта информация о потребителях, поставщиках медицинских услуг и медицинских компаниях с участием 95 000 жителей Делавэра. Среди скомпрометированных данных были имена, адреса, даты рождения, адреса электронной почты, номера социального страхования, идентификационные номера налогоплательщиков, банковские счета и номера маршрутов, а также идентификационные номера участников.

Orvibo

1 июля 2019 г .: База данных интеллектуальных домашних устройств IOT, Orvibo, раскрыла личную информацию более 2 миллиардов клиентов.Затронутая информация включает адреса электронной почты, пароли, коды сброса учетной записи, точное местоположение, IP-адрес, имя пользователя, идентификатор пользователя, фамилию, идентификатор семьи, интеллектуальное устройство, устройства, которые обращались к учетной записи, и информацию о расписании.

Министерство труда Мэриленда

8 июля 2019 г .: Было сообщено о взломе нескольких систем, управляемых Министерством труда Мэриленда, содержащих файлы, относящиеся к 2009 году. Предполагается, что украденные данные включают имена, номера социального страхования, даты о рождении и другую конфиденциальную информацию, позволяющую установить личность 78 000 пользователей государственных услуг по страхованию от безработицы и Информационной системы по работе с грамотностью.

Департамент здравоохранения округа Лос-Анджелес

10 июля 2019 г .: Подрядчик Департамента здравоохранения округа Лос-Анджелес стал жертвой фишинг-атаки, в результате которой была раскрыта личная информация 14 600 пациентов, включая имена, адреса и пациента информация и номера социального страхования.

Essentia Health

10 июля 2019 г .: Пациенты Essentia Health были уведомлены об утечке защищенной медицинской информации в результате фишинг-атаки стороннего поставщика, California Reimbursement Enterprises.Конкретные затронутые данные не были раскрыты, но, возможно, включали медицинские записи, информацию о выставлении счетов и даты рождения, поскольку это типы информации, которые обычно передаются поставщику биллинговых услуг.

Fieldwork Software

10 июля 2019 г .: Исследователи vpnMentor обнаружили незащищенную базу данных, принадлежащую Fieldwork Software, которая раскрывает имена клиентов, кредитные карты, коды сигналов тревоги, информацию о клиентах и другие конфиденциальные данные о клиентах малого бизнеса компании.Существенное беспокойство вызвала прямая ссылка на серверную систему компании и журналы связи, в которых детализировалась такая информация, как коды аварийных сигналов, сведения о доступе к зданию и местонахождение скрытых ключей клиентов.

Лаборатории клинической патологии (CPL)

17 июля 2019 г .: Другая клиническая лаборатория сообщила, что личная информация их пациентов была скомпрометирована из-за нарушения данных AMCA, о котором ранее сообщалось, вскоре после утечки данных Quest Diagnostics, LapCorp и Opko Health. .Лаборатории клинической патологии (CPL) сообщили, что у 2,2 миллиона пациентов были раскрыты их имена, адреса, номера телефонов, даты рождения, даты оказания услуг, информация о балансе и информация о провайдере лечения, а еще у 34 500 пациентов были затронуты их кредитные карты или банковская информация.

Sprint

18 июля 2019 г .: Неизвестное количество учетных записей клиентов Sprint было взломано через веб-сайт Samsung.com «добавить строку». Информация, предоставляемая оператором мобильной сети, включает имена, адреса для выставления счетов, номера телефонов, типы устройств, идентификаторы устройств, ежемесячные периодические платежи, идентификаторы подписчиков, номера учетных записей, даты создания учетных записей, право на обновление и дополнительные услуги.

Департамент кадров Лос-Анджелеса

29 июля 2019 г .: Хакер украл личную информацию около 20000 сотрудников Департамента полиции Лос-Анджелеса, новобранцев и соискателей из Программы подачи заявлений Департамента кадров Лос-Анджелеса. Скомпрометированные данные включали имена, даты рождения, частичные номера социального страхования, адреса электронной почты и пароли учетных записей заявителя.

Capital One

29 июля 2019 г .: Capital One объявила об инциденте безопасности, который затронул заявки на кредитные карты для 100 миллионов потребителей в США.Из этих заявлений примерно 140 000 включали номер социального страхования заявителя, а 80 000 — информацию о связанном банковском счете. В заявку на получение кредитной карты были включены имена, адреса, номера телефонов, адреса электронной почты, даты рождения, а также личный или семейный доход. Также были скомпрометированы кредитные рейтинги, кредитные лимиты и кредитные остатки.

Poshmark

5 августа 2019 г. : Интернет-магазин Poshmark объявил в своем блоге, что хакер получил доступ к именам, именам пользователей, полам, городским данным, адресам электронной почты, настройкам размера и зашифрованным паролям своих пользователей.Poshmark имеет более 50 миллионов пользователей, но не подтвердил, сколько из них пострадало от взлома.

StockX

5 августа 2019 г .: Stock X, платформа для торговли модной одеждой и кроссовками, раскрыла личную информацию более 6,8 миллиона клиентов. Компания отправила своим пользователям сброс пароля после того, как неизвестная третья сторона получила доступ к именам клиентов, адресам электронной почты, адресам доставки, именам пользователей, хешированным паролям и истории покупок.

Presbyterian Healthcare Services

5 августа 2019 г .: Фишинговая атака на Presbyterian Healthcare Services Нью-Мексико предоставила хакерам несанкционированный доступ к личной и медицинской информации 183 000 пациентов.Сообщенное нарушение данных раскрыло имена, даты рождения, номера социального страхования, а также план медицинского страхования и клиническую информацию.

CafePress

7 августа 2019 г .: CafePress, компания, занимающаяся изготовлением футболок и товаров, предоставила более 23,2 миллиона учетных записей, раскрывающих имена, адреса электронной почты, физические адреса, номера телефонов и хешированные пароли своих клиентов. CafePress не раскрывает информацию о взломе вплоть до февраля 2019 года, но разослал сброс паролей, утверждая, что обновил свою политику паролей.

State Farm

9 августа 2019 г .: Хакер использовал имена пользователей и пароли, обнаруженные в результате утечки данных другой компанией, чтобы получить доступ к учетным записям пользователей страховки State Farm, что также известно как атака с заполнением учетных данных. Никакая другая личная информация не разглашается, и количество пострадавших не разглашается. State Farm сбросил пароли для учетных записей, учетные данные которых были затронуты.

Hy-Vee

14 августа 2019 г .: Компания Hy-Vee сообщила о нарушении безопасности своей системы точек продаж (PoS), что повлияло на потребителей, которые совершали покупки через топливные насосы Hy-Vee, проездной кофе магазины и рестораны (Market Grilles, Market Grille Express и Wahlburgers.Компания заявляет, что хакеры не получили доступа к отдельным системам PoS, которыми управляют их продуктовые магазины, аптеки или мини-маркеты. Обновлено 23 августа 2019 г .: KrebsonSecurity обнаружила, что 5,3 миллиона украденных счетов кредитных и дебетовых карт, связанных с взломом Hy-Vee, были выставлены на продажу в Dark Web под названием «Нарушение солнечной энергии».

Choice Hotels

15 августа 2019 г .: База данных, содержащая 700 000 записей о гостях франшизы отелей Choice Hotels, была обнаружена и оставлена с запиской о выкупе.Хакеры запросили 0,4 биткойна, примерно 4000 долларов, чтобы остановить дальнейшее раскрытие украденной информации, включая имена, адреса и номера телефонов.

BioStar 2

16 августа 2019 г .: Исследователи безопасности и команда VPNMentor обнаружили утечку данных, содержащую данные отпечатков пальцев 1 миллиона человек, а также информацию о распознавании лиц, а также незашифрованные имена пользователей и пароли 27,8 миллиона человек. Раскрытая база данных принадлежит BioStar 2, платформе биометрической безопасности, используемой организациями по всему миру.

MoviePass

21 августа 2019 г .: Персональные данные и данные кредитных карт 58 000 подписчиков службы подписки на билеты в кино MoviePass остались незащищенными на сервере, который не был защищен паролем. Клиентам MoviePass выдаются карты, которые работают как дебетовые. Это нарушение повлияло на имена, адреса, номер дебетовой карты MoviePass, срок действия карты, баланс карты и дату активации.

Hostinger

27 августа 2019 г .: Хостинговая компания Hostinger разослала электронные письма для сброса пароля 14 миллионам клиентов, информация которых была взломана через сервер API.Компания призывает своих клиентов обновить свои пароли после того, как имена, имена пользователей, адреса электронной почты, IP-адреса и хешированные пароли были раскрыты в результате утечки данных.

Foxit

30 августа 2019 г .: Более 328 000 пользователей Foxit, компании, занимающейся разработкой программного обеспечения для чтения PDF-файлов, получили электронное письмо для сброса пароля после того, как они обнаружили, что взломанный имел доступ к именам, адресам электронной почты, паролям, номерам телефонов и названиям компаний. , и IP-адреса.

Providence Health Plan

5 сентября 2019 г .: Providence Health Plan уведомил 122 000 своих участников о том, что их личная информация была затронута в результате несанкционированного доступа к их серверам.Хакеры получили доступ к именам, адресам, адресам электронной почты, датам рождения, номерам социального страхования, идентификационным номерам участников, номерам групп и номерам подписчиков.

Facebook

5 сентября 2019 г .: Обнаружен незащищенный сервер, содержащий более 419 миллионов записей пользователей Facebook, что дает хакерам доступ к уникальным идентификаторам и телефонным номерам пользователей Facebook. В некоторых случаях также включались имена, пол и местонахождение пользователей.

ООО «Дилер Лидер».

16 сентября 2019 г .: Личная информация 198 миллионов потенциальных покупателей автомобилей осталась открытой в незащищенной базе данных, принадлежащей Dealer Leader, компании цифрового маркетинга для автосалонов. Предоставляемая информация включала имена, адреса электронной почты, номера телефонов, домашние адреса и IP-адреса.

DoorDash

27 сентября 2019 г .: DoorDash, служба доставки еды, подтвердила утечку данных через стороннего поставщика, раскрывая информацию 4.9 миллионов клиентов, курьеров и продавцов. Утечка данных включает имена, адреса доставки, номера телефонов, хешированные пароли, историю заказов, последние четыре цифры кредитных карт обоих клиентов и номера банковских счетов сотрудников. Также была раскрыта информация о водительских правах 100 000 водителей-курьеров.

Zynga

12 сентября 2019 г .: Игроки популярных игр Draw Something, Words With Friends и Farmville были уведомлены производителем мобильных игр Zynga о взломе их системы и незаконном доступе к пользовательским данным.Хакер, взявший на себя ответственность, говорит, что он получил доступ к базе данных, которая включала данные 218 миллионов игроков на Android и iOS, включая имена, адреса электронной почты, идентификаторы входа, хешированные пароли, номера телефонов, идентификаторы Facebook и идентификаторы учетных записей Zynga. Zynga не подтвердила количество затронутых пользователей.

Методистские больницы Индианы

17 октября 2019 г .: После того, как двое сотрудников стали жертвами фишинга по электронной почте, хакеры получили доступ к личной информации более 68000 пациентов методистских больниц в Индиане.Информация, скомпрометированная в результате взлома, включает имена, адреса, даты рождения, номера социального страхования, номера водительских прав / государственного удостоверения личности / паспорта, данные кредитной карты и медицинские карты пациентов.

Autoclerk

21 октября 2019 г .: Группа кибербезопасности vpnMentor обнаружила открытую базу данных, принадлежащую Autoclerk, системе управления гостиничным имуществом, влияющую на информацию сотен тысяч людей, в том числе принадлежащих правительству США и военнослужащим. .Доступные записи включают имена, даты рождения, домашние адреса, номера телефонов, даты и дорожные расходы, время регистрации, номера комнат и скрытые данные кредитной карты.

Kalispell Regional Healthcare

22 октября 2019 г .: После фишинг-атаки летом 2019 года информация о более чем 130 000 пациентов Kalispell Regional Healthcare. Хакерам был предоставлен доступ к именам пациентов, номерам социального страхования, адресам, номерам медицинских карт, датам рождения, номерам телефонов, адресам электронной почты, истории болезни и информации о лечении, датам оказания услуг, лечащим / направляющим врачам, номерам счетов медицинских счетов и / или информация о медицинском страховании.

Adobe

26 октября 2019 г .: Информация об учетных записях более 7,5 миллионов пользователей Adobe Creative Cloud была раскрыта из-за незащищенной онлайн-базы данных, включая адреса электронной почты, имена пользователей, местоположение, продукты Adobe, даты создания учетных записей, даты последний вход в систему, подписки и статус оплаты.

Network Solutions

30 октября 2019 г .: Миллионы людей, которые использовали первого в мире поставщика доменных имен в Интернете, Network Solutions, получили доступ к своим PII со стороны третьих лиц.NetworkSolutions.com вместе с Register.com и Web.com подтвердили, что хакеры получили доступ к именам, адресам, номерам телефонов, адресам электронной почты и служебной информации своих клиентов, и рекомендовали сбросить пароль.

Disney +

16 ноября 2019 г .: Пользователи недавно выпущенных потоковых сервисов Disney + были заблокированы для доступа к своим учетным записям после взлома мошенниками. Учетные данные участников Disney +, включая имена пользователей и пароли, были выставлены на продажу в Dark Web по цене от 3 долларов за запись.

Веб-сайт электронной коммерции Macy’s

19 ноября 2019 г .: Сайт электронной коммерции Macy был взломан третьей стороной, внедрив вредоносный код на страницу онлайн-оформления заказа Macy’s. Скимминговый код также был размещен на странице кошелька Macy’s, который владельцы счетов использовали для хранения учетных данных. Вредоносная программа собирала имена, полные адреса, номера телефонов, адреса электронной почты, номера платежных карт, коды безопасности карт и даты истечения срока оплаты покупателей, совершавших покупки через веб-сайт Macy’s.

T-Mobile

22 ноября 2019 г .: Более 1 миллиона клиентов T-Mobile получили доступ к личной информации хакера. Их имена, адреса для выставления счетов, номера телефонов, номера счетов, тарифы, планы и функции звонков были раскрыты, но никакие финансовые данные или данные пароля не были скомпрометированы.

Неизвестно

22 ноября 2019 г .: Обнаружен незащищенный сервер, содержащий более 622 миллионов адресов электронной почты, 50 миллионов номеров телефонов, а также имена и данные профиля из LinkedIn и Facebook, такие как адреса электронной почты, работодатели, местонахождение, названия должностей, имена, номера телефонов и профили в социальных сетях.Были раскрыты данные о более чем 1,2 миллиарда человек, и владелец базы данных остается неизвестным.

TrueDialog

4 декабря 2019 г .: База данных, принадлежащая американской коммуникационной компании TrueDialog, выявила десятки миллионов текстовых SMS-сообщений, а также личную информацию более чем 1 миллиарда подписчиков. Затронутая информация включает имена получателей, владельцев учетных записей и пользователей, адреса электронной почты, номера телефонов получателей и пользователей, содержание сообщений, дату и время отправки сообщений, статус сообщения и данные учетной записи.

LightInTheBox

16 декабря 2019 г .: Интернет-магазин LightInTheBox оставил незащищенную базу данных незащищенной, что повлияло на информацию более 1,6 миллиарда клиентов. Предоставляемая информация включает в себя адреса электронной почты потребителей, IP-адреса, страны проживания, страницы назначения и действия пользователей. Хотя никакая личная информация не была раскрыта, адреса электронной почты пользователей могут быть использованы в целевых фишинговых атаках.

Zynga

19 декабря 2019 г .: В случае взлома, впервые зарегистрированного в сентябре 2019 г., HaveIBeenPwned подтвердил, что более 170 миллионов игроков популярных мобильных игр Zynga Draw Something и Words With Friends получили доступ к информации об их аккаунтах.К украденным данным относятся имена, адреса электронной почты, идентификаторы входа, хешированные пароли, номера телефонов, идентификаторы Facebook и идентификаторы учетных записей Zynga.

Facebook

19 декабря 2019 г .: Было обнаружено более 267 миллионов записей Facebook, раскрывающих имена пользователей Facebook, идентификаторы Facebook и номера телефонов. Незащищенная веб-страница была открыта для киберпреступников не менее двух недель.

Wawa

20 декабря 2019 г .: Популярный оператор магазинов и заправочных станций на Восточном побережье, Wawa, сообщил об обнаружении вредоносного ПО на своих серверах обработки платежей.Это вредоносное ПО фиксировало номера кредитных и дебетовых карт, имена владельцев карт и даты истечения срока действия карт при оплате в магазине и на бензоколонках. Количество клиентов, пострадавших от взлома, не разглашается.

Wyze Labs

30 декабря 2019 г .: Производитель устройств для умного дома Wyze Labs раскрыл утечку данных, затронувшую более 2,4 миллиона клиентов. Производственные базы данных, принадлежащие Wyze, оставались открытыми большую часть месяца и содержали имена пользователей и адреса электронной почты, имена сетей Wi-Fi, имена камер и токены, которые идентифицировали подключения смартфонов и персональных цифровых помощников.Базы данных также включали личную информацию о здоровье некоторых пользователей, проводивших бета-тестирование для компании. Компания утверждает, что в записи базы данных не были включены пароли или реквизиты финансовых счетов.

Индийский законопроект о защите личных данных

Поскольку мир продолжает бороться с задержками, вызванными COVID-19, Индия отложила пересмотр своего нового законодательства о конфиденциальности данных, Закона о защите личных данных, 2019 (PDPB). PDPB использует Общий регламент ЕС по защите данных (GDPR) в качестве модели, но содержит несколько новых требований.

Если PDPB пройдет, доверенные лица данных — те, кто определяет цель и средства обработки личных данных — столкнутся с новыми обязательствами и требованиями, в то время как субъекты данных — физические лица, к которым относятся личные данные — получат новые права в отношении свои личные данные. В этом посте кратко излагаются основные положения PDPB.

Обязательства по защите данных

PDPB обязывает доверенных лиц соблюдать установленные принципы обработки данных. В частности, закон требует от них:

Обрабатывать персональные данные для конкретной, ясной и законной цели
Обрабатывать персональные данные справедливым, разумным и обеспечивающим конфиденциальность способом для указанной и разумно ожидаемой цели с учетом контекста
Собирать только те личные данные, которые необходимы для этой цели
Предоставить принципалам данных уведомление о сборе и обработке их персональных данных, включая цель, личность доверенного лица, срок хранения, права доверителей и другие подробности.
Убедитесь, что личные данные являются полными, точными, актуальными и не вводят в заблуждение
Хранить личные данные не дольше, чем необходимо для достижения цели и для удаления данных по завершении обработки
Обеспечьте подотчетность с PDPB
Получить согласие руководителей данных на обработку их персональных данных, гарантируя, что согласие дано свободно, информировано, конкретно для цели, четко предоставлено посредством позитивных действий и может быть отозвано

Обработка персональных данных без согласия

Требование PDPB о том, чтобы доверительные управляющие получали согласие на обработку данных, направлено на обеспечение фундаментального права доверителей на неприкосновенность частной жизни.Однако, как и GDPR, PDPB предоставляет несколько оснований для обработки без согласия.

Например, доверенные лица могут обрабатывать персональные данные без согласия в следующих случаях:

В соответствии с законом
Выполнять постановление или решение суда
Для реагирования на неотложную медицинскую помощь с участием ответственного лица или другого лица
Для обеспечения безопасности человека во время любого стихийного бедствия или любого нарушения общественного порядка

Кроме того, PDPB позволяет обрабатывать неконфиденциальные личные данные без согласия, когда это необходимо для целей, связанных с трудоустройством, таких как прием на работу или увольнение.PDPB также разрешает обработку персональных данных без согласия в случаях, которые Управление по защите данных (DPA) определяет в нормативных актах как «разумные цели», например, предотвращение и обнаружение незаконной деятельности, кредитный рейтинг и операции поисковых систем.

Основные права на данные

Для защиты частной жизни людей PDPB предоставляет субъектам данных несколько прав, касающихся их личных данных. Эти права аналогичны правам в соответствии с GDPR.

В соответствии с PDPB, руководители данных имеют право подтвердить, обрабатывает ли фидуциар данных или обработал ли их персональные данные, получить доступ к типам персональных данных и подробным сведениям о действиях по обработке.Фидуциары данных должны отвечать четко и кратко, чтобы их понял обычный человек.

Руководители данных также имеют право исправлять неточные или вводящие в заблуждение личные данные, заполнять неполные данные, обновлять устаревшие данные и удалять данные, которые больше не нужны для первоначальной цели обработки.

Кроме того, PDPB предоставляет принципалам данных право на переносимость данных, то есть на получение их персональных данных в структурированном, широко используемом и машиночитаемом формате, включая данные, которые составляют часть профиля принципала.

Наконец, руководители данных имеют право ограничить или предотвратить дальнейшее раскрытие информации, если это раскрытие послужило цели первоначального сбора или данные больше не нужны для этой цели, руководители отозвали согласие или раскрытие нарушает PDPB или другой закон. Однако только судебный исполнитель, назначенный DPA, может обеспечить соблюдение этого права посредством приказа. И руководители данных должны будут продемонстрировать, что их права или интересы в предотвращении или ограничении раскрытия их «личных данных имеют приоритет над правом на свободу слова и выражения мнений и правом на информацию любого другого гражданина.”

Меры по обеспечению прозрачности и подотчетности

Как и в случае с другими современными законами о конфиденциальности, прозрачность и подотчетность являются ключевыми областями, когда речь идет о законодательстве о конфиденциальности. PDPB требует, чтобы доверенные лица данных разрабатывали политики конфиденциальности с помощью политик и обеспечивали прозрачность своей деятельности по обработке, например, предоставление политик конфиденциальности с подробным описанием типов собираемых и обрабатываемых персональных данных, целей обработки и информации о трансграничной передаче данных. личные данные

Управляющие

Data Fiduciaries также должны применять меры безопасности для защиты личных данных.Такие меры безопасности включают деидентификацию и шифрование, а также меры по предотвращению неправомерного использования, несанкционированного доступа, модификации, раскрытия или уничтожения личных данных. Более того, если нарушение данных действительно происходит и нарушение может нанести ущерб принципалу данных, фидуциар данных должен проинформировать DPA.

PDPB также регулирует отношения с обработчиками данных, требуя от фидуциаров данных заключать контракты с обработчиками данных и требуя, чтобы такие обработчики обрабатывали личные данные в соответствии с инструкциями доверенных лиц, при этом обрабатывая данные как конфиденциальные.

Наконец, доверенные лица данных должны внедрить процедуры и механизмы для эффективного и быстрого приема и рассмотрения жалоб руководителей данных.

Доверенное лицо по важным данным

Два важных аспекта, которые четко отличает PDPB от GDPR, — это концепция «значимых фидуциаров» и дополнительные обязательства этих фидуциаров. DPA будет иметь право классифицировать доверенных лиц данных как значимых на основе многофакторного анализа, включая, среди прочего, объем и конфиденциальность обрабатываемых персональных данных, риск причинения вреда при обработке данных и использование новых технологий обработки. .

Еще одним уникальным аспектом PDPB является создание классификации «посредника в социальных сетях», а именно «посредник, который в первую очередь или единолично обеспечивает интерактивное взаимодействие между двумя или более пользователями и позволяет им создавать, загружать, обмениваться, распространять, изменять или получить доступ к информации, используя его услуги ». Законопроект рассматривает любого посредника в социальных сетях в качестве важного фидуциара данных, если у него есть определенное количество пользователей (порог, который еще не определен правительством) и чьи действия имеют или могут иметь значительное влияние на избирательную демократию в Индии. , безопасность, общественный порядок или суверенитет и целостность.

Помимо требований, установленных для фидуциаров данных (см. Выше), PDPB увеличивает юридические обязательства фидуциаров данных. Во-первых, важный фидуциар данных должен провести оценку воздействия на защиту данных, прежде чем он начнет какую-либо обработку, включающую новые технологии, крупномасштабное профилирование или использование конфиденциальных личных данных, или любую другую обработку, которая несет риск значительного ущерба для субъектов данных. Во-вторых, крупный фидуциар данных должен поддерживать точные и актуальные записи о своих операциях по обработке и проверках мер безопасности, среди другой информации.В-третьих, важный фидуциар данных должен проходить ежегодный аудит своей политики и деятельности по обработке независимым аудитором данных. На основании результатов аудита аудитор данных может присвоить значимому фидуциару данных рейтинг в форме оценки доверия к данным. В-четвертых, каждый важный фидуциар данных должен назначить квалифицированного и опытного сотрудника по защите данных. Наконец, посредники в социальных сетях должны позволять пользователям проверять свои учетные записи, чтобы получить очевидную и видимую отметку проверки.

Трансграничная передача персональных данных

В отличие от GDPR, PDPB налагает повышенные ограничения на передачу личных данных за пределы Индии. PDPB прямо не устанавливает требований к передаче персональных данных. Однако он запрещает передачу «важных личных данных», которые еще не определены правительством, за исключением определенных обстоятельств. Например, доверенные лица могут передавать такие данные, если это необходимо для оказания срочной медицинской или неотложной помощи или если это разрешено правительством и DPA.

Хотя доверенные лица могут передавать конфиденциальные личные данные за пределы Индии, они должны будут продолжать хранить эти данные в Индии. Более того, они могут передавать такие данные только с явного согласия руководителей данных и при наличии другого условия, например, когда правительство и DPA разрешают передачу на основании вывода о том, что страна или организация назначения обеспечивает адекватный уровень защиты данных.

Обновление COVID-19

Из-за пандемии коронавируса 2020 года многие важные мероприятия были отложены.Обзор и голосование по PDPB ничем не отличаются. Законопроект должен был поступить в парламент Индии 7 июля, но его рассмотрение было приостановлено. О новой дате пока ничего не известно, поэтому закон вряд ли будет принят в ближайшее время.

PDPB сложный и подробный. Многие аспекты известны благодаря его предшественникам, таким как GDPR. Но есть много новых концепций, которые нужно усвоить. Если PDPB вступит в силу, организации по всему миру столкнутся с дополнительными проблемами соответствия.

Если вы ищете мощное и простое в использовании программное обеспечение для управления конфиденциальностью, OneTrust специально создан для масштабного решения этих задач, позволяя маркетологам и организациям упростить и усилить управление программами обеспечения конфиденциальности.Запланируйте демонстрацию сегодня, чтобы узнать больше.

архивов ресурсов | Архив ресурсов OneTrust

| Архив OneTrustResources | OneTrust

Внедрение автоматизации запросов на государственную отчетность: модернизация выполнения требований FOIA и PRR
Дата вебинара: 17 августа 2021 г., 10:00 EDT | 15:00 BST | 16:00 CET
Запросы государственных документов становятся все более распространенными на федеральном уровне и уровне штатов, и необходимость редактирования конфиденциальной информации из этих документов исторически была сложным и ручным процессом.OneTrust Government Records Requests — это решение, которое принимает запросы, проверяет личность, автоматически обнаруживает соответствующие данные из нескольких систем и затем редактирует. Присоединяйтесь к OneTrust для участия в веб-семинаре «Представляем правительственные отчеты … [продолжить чтение]
Зарегистрироваться на мероприятие
Обновление нормативно-правовой базы Китая: Закон о безопасности данных
Дата вебинара: 9 августа 2021 г., 16:00 CST | 9:00 BST
Закон Китайской Народной Республики о безопасности данных регулирует деятельность по обработке данных, обеспечивает безопасность данных и защищает законные права и интересы отдельных лиц и организаций.С датой вступления в силу 1 сентября 2021 года крайне важно, чтобы организации выполнили ключевые требования для соблюдения закона. Присоединяйтесь к OneTrust DataGuidance на веб-семинаре, посвященном … [Продолжить чтение]
Зарегистрироваться на мероприятие
Закон штата Колорадо о конфиденциальности: приведите в действие ваше соответствие
Дата вебинара: 28 июля 2021 г., 13:00 EDT
Губернатор Колорадо официально подписал Закон о конфиденциальности Колорадо (CPA) 7 июля 2021 года, добавив его к ландшафту конфиденциальности США с Калифорнией и Вирджинией.CPA повышает защиту данных потребителей и еще больше расширяет права потребителей на конфиденциальность в США. Присоединяйтесь к нам на этом вебинаре, чтобы обсудить CPA и ее значение для … [Продолжить чтение]
Зарегистрироваться на мероприятие
POPIA и PAIA — две стороны одной медали
Дата вебинара: 5 августа 2021 г. | Вебинары
В течение последнего года организации уделяли пристальное внимание стандарту POPIA в Южной Африке в свете крайнего срока, установленного для соблюдения требований, 1 июля 2021 года, и стремятся ввести в действие и автоматизировать требования POPIA.Дата также ознаменовала передачу надзора за Законом о содействии доступу к информации (PAIA) Регулирующему органу информации. Частичное совпадение требований POPIA … [Продолжить чтение]
Зарегистрироваться на мероприятие
Что означает решение о достаточности в Великобритании
Дата вебинара: 20 июля 2021 г., 11:00 — 12:00 BST | Вебинары
28 июня 2021 года Европейская комиссия приняла два решения о достаточности для Великобритании.В них Комиссия подчеркнула, что теперь персональные данные могут свободно передаваться из ЕС в Великобританию, где они пользуются по существу эквивалентным уровнем защиты, гарантированным законодательством ЕС. Однако есть некоторые неотъемлемые риски для решения об адекватности и уникальности … [Продолжить чтение]
Зарегистрироваться на мероприятие
OneTrust — идеальный кандидат на участие в программе конфиденциальности Allegis Group
Дата вебинара: 20 июля 2021 г., 11:00 EDT | 16:00 BST | Вебинары
Присоединяйтесь к беседе у очага OneTrust Champions с вице-президентом Allegis Group, генеральным юрисконсультом группы и специалистом по глобальной конфиденциальности Морин Драй-Уоссон и главой Совета Европы по вопросам конфиденциальности и сотрудником по защите данных Линдой Тиеловой.Морин и Линда обсудят, как Allegis Group создала глобальную программу управления конфиденциальностью с помощью OneTrust и как они подходят к постоянно меняющемуся ландшафту конфиденциальности.
Смотреть видео
Атаки на цепочку поставок: рост числа программ-вымогателей и как снизить риск
Дата вебинара: 22 июля 2021 г., 11:00 EDT | Вебинары
В последние месяцы атаки на цепочки поставок попали в заголовки газет и нанесли серьезный ущерб компаниям. Эти атаки, в которых часто используются программы-вымогатели, могут затронуть тысячи организаций, нацелившись на одну компанию.В недавнем случае компания, занимающаяся разработкой программного обеспечения для управления ИТ, пострадала от атаки программы-вымогателя, которая затронула до 1500 малых предприятий, полагающихся на программное обеспечение компании. Пока хакеры … [продолжить чтение]
Зарегистрироваться на мероприятие
Колорадо присоединяется к ландшафту конфиденциальности США с новым законом
Дата вебинара: 14 июля 2021 г., 9:00 PDT | 10:00 MDT | 12:00 вечера EDT
Губернатор Колорадо подписал законопроект о конфиденциальности SB 21-190, также известный как Закон Колорадо о конфиденциальности (CPA), с датой вступления в силу 1 июля 2023 года.Следуя CDPA штата Вирджиния и CCPA штата Калифорния, Колорадо присоединяется к ландшафту конфиденциальности США с всеобъемлющим законом о конфиденциальности. Посмотрите, как OneTrust DataGuidance и группа экспертов обсуждают детали нового Закона о конфиденциальности штата Колорадо … [Продолжить чтение]
Смотреть видео
OneTrust признан лидером в квадранте Chartis RiskTech по решениям ITRM, 2021 г.
Дата публикации: 6 июля 2021 г. | Аналитические отчеты
В опубликованном Chartis отчете GRC Solutions, 2021: обновление рынка и ландшафта поставщиков, OneTrust был назван лидером нашего решения для управления рисками в сфере ИТ и безопасности.В этом отчете оценивается эффективность решений и технологий в области корпоративного управления, рисков и соблюдения нормативных требований в отношении потребностей быстрорастущего рынка и отраслевых тенденций для GRC и финансовых учреждений. Отчет содержит 8 квадрантов RiskTech и дает обзор рынка … [Продолжить чтение]
Получить ресурс
Соответствие ESG: обновления нормативных требований ЕС и Германии
Дата вебинара: 13 июля 2021 г., 9:00 EDT | 14:00 BST | 15:00 CET
Динамично меняющийся ландшафт конфиденциальности в ЕС вызывает вопросы относительно потенциального воздействия на ESG и соблюдения конфиденциальности.Последние события включают резолюцию Европейского парламента о рекомендации Европейской комиссии директивы о корпоративной проверке и подотчетности. Посмотрите веб-семинар OneTrust DataGuidance, чтобы узнать последнюю информацию о конфиденциальности ESG и последних изменениях в законодательстве в ЕС … [Продолжить чтение]
Смотреть видео
Настольные упражнения по управлению инцидентами
Дата публикации: 2 июля 2021 г.,
Примените свой план управления инцидентами на практике с помощью этого настольного упражнения.Это упражнение предназначено для того, чтобы дать вашей команде возможность смоделировать реальный инцидент, чтобы определить готовность команды или возможные пробелы. Если у вашей команды нет существующего плана управления инцидентами, узнайте, как его создать, с помощью нашего Пособия по управлению инцидентами.
Получить ресурс
Редактирование DSAR: что нужно знать
Дата вебинара: 15 июля 2021 г., 10:00 EDT | 15:00 BST | 16:00 CET
Запросы на доступ к субъектам данных (DSAR) становятся все более распространенными, особенно в контексте сотрудников, бывших сотрудников и клиентов.Важно понимать, когда необходимо полностью отредактировать конфиденциальную информацию других людей из файлов перед выполнением запросов и как обеспечить надлежащую проверку файлов. Посмотрите, как эксперты OneTrust, Линда Тиелова — руководитель отдела конфиденциальности и Рама Вирарагу — специалист по редактированию данных, обсуждают … [Продолжить чтение]
Смотреть видео
Как грамотное управление ИТ-активами и рисками может защитить вас от программ-вымогателей
Дата вебинара: 21 июля 2021 г., 11:00 по восточноевропейскому времени | 16:00 BST EDT | Вебинары
Сложность ИТ быстро растет, поскольку организации постоянно внедряют новые инструменты и технологии.Несмотря на то, что ИТ-активы необходимы для повышения производительности и производительности, их трудно отслеживать, что приводит к уязвимостям ИТ-безопасности для предприятий. После COVID-19 ФБР США сообщило об увеличении числа зарегистрированных киберпреступлений на 300%, а программы-вымогатели — последняя горячая тема из-за недавних … [Продолжить чтение]
Зарегистрироваться на мероприятие
Управление вашими данными: второй шаг к анализу данных
Дата вебинара: вторник, 20 июля | 11:00 EDT, 16:00 BST
На предыдущем веб-семинаре, посвященном нашему циклу «Путь к анализу данных», мы обсудили первый шаг, который необходимо сделать большинству организаций — знание своих данных.Теперь, когда вы знаете свои данные (или находитесь в процессе понимания своих данных), следующим шагом будет внедрение политик управления данными вокруг этих данных. …[Продолжить чтение]
Смотреть видео
Решения Schrems II: что вам нужно, чтобы следовать рекомендациям EDPB
Дата вебинара: четверг, 1 июля | 10:00 EDT, 15:00 BST, 16:00 CEST | Вебинары
Решение Schrems II оказало большое влияние на организации всех форм и размеров.На этом веб-семинаре вы узнаете, как реализовать недавно принятые рекомендации EDPB и как бесплатные инструменты и шаблоны OneTrust могут помочь вашей организации: определить передачу данных и механизмы, на которые опирается OneTrust Data Mapping Assess поставщиков, полагающихся на SCC с предварительно созданной проверкой SCC. ..[Продолжить чтение]
Смотреть видео
Конфиденциальность в Эквадоре: что нужно знать о новом законе
Дата вебинара: 29 июня 2021 г., 10:00 GMT-5 | 11:00 EDT
Новый Органический закон Эквадора о защите личных данных был одобрен законодателями 10 мая 2021 года и опубликован в Официальном реестре 26 мая 2021 года.Этот новый закон обеспечивает осуществление права на защиту личных данных, а также регулирует и развивает принципы, механизмы и обязательства, способствующие защите личных … [Продолжить чтение]
Смотреть видео
На пути к конфиденциальности: будущее подключенных автомобилей
Дата вебинара: 30 июня 2021 г., 12:00 по восточноевропейскому времени | 9:00 PDT
Инновации в индустрии автономных транспортных средств с каждым днем продолжают развиваться благодаря машинному обучению и технологиям на основе ИИ.В предыдущем обсуждении OneTrust DataGuidance и группа экспертов обсудили актуальность автономных транспортных средств, а также риски и последствия сбора и обработки персональных данных. Мы ответили на вопросы о том, что означает сбор личной информации в автономных транспортных средствах в … [Продолжить чтение]
Смотреть видео
Контрольный список соответствия GDPR
Дата публикации: 11 июня 2021 г.,
Общий регламент по защите данных (GDPR) — это самый строгий глобальный закон о конфиденциальности, который действует сегодня в Европейском союзе (ЕС), чтобы гарантировать, что предприятия должным образом обрабатывают личные данные.GDPR … [продолжить чтение]
Скачать сейчас
Отображение данных: De Basis van elk Privacyprogramma
Дата вебинара: 20 июля 2021 г., CEST
Отображение данных — это важная программа обеспечения конфиденциальности. Begrijpen hoe gegevens door deorganisatie stromen is dan ook een eerste vereiste om de gegevens te kunnen beveiligen en risico’s te analyseren. Het bijhouden van een robuuste inventoryaris помогли организациям добиться эффективного соответствия требованиям, чтобы они были созданы, verzoeken om toegangsrechten van betrokkenen (DSAR’s) te vervullen, tijdslijnen voor datalekken en…[Продолжить чтение]
Смотреть видео
Продолжение Fallout Schrems II: выпущены окончательные рекомендации EDPB
Дата вебинара: 23 июня 2021 г., 8:00 PDT | 11:00 EDT | 16:00 BST
Ожидается, что после месяцев ожидания Европейский совет по защите данных («EDPB») в ближайшее время опубликует свои окончательные рекомендации о том, как проводить необходимую оценку международных передач данных после Schrems II. В том, что считается одним из самых важных документов для будущего передачи данных, это событие станет поворотным моментом для международных организаций.Как продолжение … [Продолжить чтение]
Смотреть видео
Три способа масштабирования GRC
Дата вебинара: 23 июня 2021 г., 11:00 — 12:00 CEST | Вебинары
Соблюдение нормативных требований и субъективное толкование риска было общим препятствием для всех трех направлений. Погоня за последней информацией через статические оценки, электронные письма и другую документацию неэффективна и заставляет вас просматривать вчерашние данные. Совместное управление рисками и соблюдение нормативных требований по трем направлениям важно для эффективной работы вашей программы GRC, но может оказаться сложной задачей…[Продолжить чтение]
Смотреть видео
Использование цикла Enterprise ESG для успешной программы
Дата вебинара: 29 июня 2021 г., 11:00 EDT | 16:00 BST | Вебинары
Создание корпоративной программы ESG может быть сложной задачей, и многие организации не знают, с чего начать. Выбор фреймворка, команды, показателей, стратегии — все это важно, но с чего лучше всего начать? Представляем цикл Enterprise ESG. OneTrust может помочь вам создать и запустить успешную программу ESG на основе наших проверенных решений — от определения до уточнения стратегии…[Продолжить чтение]
Смотреть видео
Знание своих данных: первый шаг к анализу данных
Дата вебинара: среда, 23 июня | 11:00 EDT, 16:00 BST
В этой серии веб-семинаров мы рассмотрим четыре шага, которые организации предпринимают на пути к анализу данных, начиная с того места, где большинству организаций необходимо начать — со знания своих данных. В большинстве организаций хранятся годы и годы различных типов данных в разных местах.С увеличением объема, скорости и разнообразия данных это приводит к … [Продолжить чтение]
Смотреть видео
Нарушение данных и нарушение этических норм: как подготовиться к обоим
Дата вебинара: 7 июля 2021 г., 10:00 CEST
Утечки данных кажутся ежедневным заголовком в сегодняшнюю эпоху 72-часового сообщения о взломах и круглосуточного цикла новостей. Хотя потребители больше не могут быть шокированы потерей или кражей их данных, то, как происходит инцидент, может повлиять на уровень репутационного ущерба после нарушения.Заинтересованные стороны понимают разницу между утечкой данных, которая может произойти из-за … [Продолжить чтение]
Смотреть видео
Продолжение Fallout Schrems II: выпущены финальные версии SCC
Дата вебинара: 7 июня 2021 г., 8:00 PDT | 11:00 EDT | 16:00 BST
Впервые за десятилетие Европейская комиссия только что выпустила новые и окончательно оформленные международные соглашения о передаче данных, известные как стандартные договорные положения («SCC»), которые теперь должны будут принять международные компании.SCC представляют собой наиболее распространенные механизмы передачи, на которые полагаются международные компании. С организациями, стремящимися выполнить решение CJEU в Schrems II, … [продолжить чтение]
Смотреть видео
Где должны храниться ваши данные? Управление глобальными требованиями к проживанию
Дата вебинара: 22 июня 2021 г. | 11:00 EDT | 16:00 BST
OneTrust DataGuidance Data Residency предоставляет организациям исследования, необходимые для обеспечения соответствия глобальным требованиям к резидентности и локализации в различных юрисдикциях и типах тем данных.Посмотрите, как эксперты OneTrust DataGuidance обсуждают, где должны находиться ваши данные, как требования к резидентности могут повлиять на вашу способность передавать данные из страны в страну и как оставаться в курсе … [Продолжить чтение]
Смотреть видео
Как Ням! Бренды создали рецепт глобальной конфиденциальности с OneTrust
Дата вебинара: 24 июня 2021 г., 11:00 EDT | 16:00 BST
Присоединяйтесь к беседе у камина OneTrust Champions с Yum! Бренд-менеджер отдела глобальной конфиденциальности, рисков и соблюдения нормативных требований Эшли Хейнс и директор по стратегии OneTrust Блейк Брэннон.Эшли и Блейк расскажут, как Yum! Создана программа конфиденциальности брендов, в которой обсуждаются передовые методы построения глобальной стратегии конфиденциальности и подробно излагаются уроки, извлеченные из внедрения технологии управления конфиденциальностью.
Смотреть видео
Сопоставление данных: основа вашей программы конфиденциальности
Дата вебинара: 9 июня 2021 г. | 13:00 EDT, 10:00 PDT
Отображение данных — важный компонент любой программы обеспечения конфиденциальности. Понимание того, как данные проходят через организацию, является необходимым условием для обеспечения безопасности данных и анализа данных на предмет рисков.Поддержание надежной инвентаризации также помогает организациям более эффективно создавать отчеты о соответствии, выполнять запросы прав доступа субъектов данных (DSAR), управлять сроками реагирования на нарушения и инциденты, … [Продолжить чтение]
Смотреть видео
Контрольный список ирландских файлов cookie DPC
Дата публикации: 1 июня 2021 г.
Загрузите наш контрольный список готовности к файлам cookie, чтобы помочь вашей компании понять и внедрить последнее руководство по файлам cookie от ЦОД Ирландии.
Скачать сейчас
Использование инструментов и технологий для сбора информации о вашей DEI и сообщения о ней
Дата вебинара: 9 июня 2021 г., 11:00 по восточноевропейскому времени | 16:00 BST | Вебинары
Выходя за рамки устойчивости, многие организации, движимые событиями прошедшего года, пристально смотрят на свои методы разнообразия, справедливости и инклюзивности.Многие компании включают DEI в свои отчеты CSR или ESG, но сегодня обычно используют ручной процесс для сбора данных. На этом заседании будут рассмотрены передовые методы сбора данных и отчетности … [Продолжить чтение]
Смотреть видео
Пособие по управлению инцидентами
Дата публикации: 24 мая 2021 г.,
Подготовьте свою команду к инцидентам, загрузив это пособие по управлению инцидентами — практическое руководство о том, как сообщать о событиях, определять обязанности и управлять процедурами реагирования.
Скачать сейчас
Распоряжение США: Повышение национальной кибербезопасности
Дата вебинара: 20 мая 2021 г. | 11:00 EDT | 16:00 BST
Администрация Байдена издала распоряжение о повышении национальной кибербезопасности в США с намерением защитить государственные сети и установить более строгие национальные стандарты кибербезопасности после недавних инцидентов, таких как инциденты с SolarWinds, Microsoft Exchange и Colonial Pipeline.Смотрите сейчас, чтобы увидеть, как OneTrust DataGuidance и партнеры из Sidley обсуждают планы и стратегии, изложенные в … [Продолжить чтение]
Смотреть видео
Повышение доверия потребителей с помощью автоматизированного процесса DSAR
Дата вебинара: четверг, 27 мая | 13:00 EDT, 10:00 PDT
Потребительское доверие — ценный товар для любого бизнеса, но, более того, его следует рассматривать как бизнес-актив, на развитии которого ваша команда сосредоточена. Ключевой способ сделать все возможное и укрепить это доверие — помочь пользователям реализовать свои права и понять, что происходит с их данными.Приближение к правам доступа к субъекту данных (DSAR) с … [Продолжить чтение]
Смотреть видео
Составьте руководство по управлению инцидентами
Дата вебинара: среда, 19 мая 2021 г. | 11:00 EDT, 16:00 BST
Управление инцидентами требует сбалансированности множества разных людей, команд и нормативно-правовой базы с учетом сроков. Независимо от того, большой он или маленький, подготовка к инциденту может быть сложной задачей. Компаниям любого размера следует разработать руководство по управлению инцидентами, чтобы выявлять и реагировать на инциденты, связанные с конфиденциальностью и безопасностью, которые могут подвергнуть их данные риску.Присоединяйтесь к эксперту по конфиденциальности OneTrust, чтобы … [продолжить чтение]
Смотреть видео
Представляем OneTrust DataGuidance расширенные возможности совместной работы
Дата вебинара: 25 мая 2021 г. | 11:00 EDT | 16:00 BST
Благодаря расширенным возможностям совместной работы OneTrust DataGuidance стало еще проще оставаться на вершине постоянно меняющейся нормативно-правовой базы. Посмотрите записанный веб-семинар, иллюстрирующий расширенные возможности DataGuidance, и узнайте, как ваша организация может использовать инструменты и решения OneTrust DataGuidance для общения, совместной работы, оптимизации ваших исследований, создания практических задач и настройки ваших рабочих пространств.Ключевые выводы: Обсудите текущие проблемы и сложности … [Продолжить чтение]
Смотреть видео
AVG: Дри Джаар позже
Дата вебинара: 2 июня 2021 г., 10:00 CEST
Drie jaar na de inwerkingtreding van de AVG — это комплексный комплексный комплексный продукт для частных лиц, занимающихся выращиванием лошадей. De afgelopen 12 maanden hebben nog eens extra bijgedragen aan het privacy bewustzijn. Ontwikkelingen in de Schrems II-zaak en de privacy-implaties van het Coronavirus hebben een nieuw niveau van compliance aan het licht gebracht для организаций.Nu de AVG-regulering drie jaar volledig van … [Продолжить чтение]
Смотреть видео
Руководство по вопросам конфиденциальности по серии Digital Adtech: Инструменты для организаций
Дата вебинара: четверг, 13 мая 2021 г. | 13:00 EDT, 10:00 PDT
Цифровой маркетинг и реклама — ключевые компоненты любых успешных глобальных маркетинговых кампаний. Однако теперь компании должны сбалансировать маркетинговые цели с новыми глобальными правилами конфиденциальности и более внимательными потребителями. Организации должны следить за тем, чтобы они соблюдали новейшие требования к файлам cookie и технологиям отслеживания, продолжая при этом поддерживать выбор и прозрачность для потребителей.Присоединяйтесь к нам на заключительном сеансе нашего … [Продолжить чтение]
Смотреть видео
10 советов по управлению согласием
Дата публикации: 5 мая 2021 г. | Инфографика
Сфера цифровой конфиденциальности постоянно развивается. Такие правила, как GDPR, и такие структуры, как IAB TCF, требуют, чтобы согласие было зафиксировано в цифровых свойствах, прежде чем запускать отслеживание, аналитику и целевую рекламу. С самого начала … [Продолжить чтение]
Скачать сейчас
Поймите и защитите свои неструктурированные данные
Дата вебинара: среда, 19 мая | 11:00 EDT, 16:00 BST
Присоединяйтесь к нам на веб-семинар, чтобы узнать, как OneTrust Unstructured Data Discovery может помочь вашему бизнесу обнаруживать и понимать ваши неструктурированные данные, что они содержат и кто имеет доступ.
Смотреть видео
Для крепостей? Управление графиками хранения данных
Дата вебинара: 12 мая 2021 г. | 10:00 EDT | 15:00 BST
Поскольку организации продолжают собирать данные и управлять ими, очень важно, чтобы они понимали требования к хранению данных в рамках своей юрисдикции и периоды, в которых данные должны храниться. Продукт OneTrust DataGuidance Retention Schedules — это надежное решение, состоящее из подробных описаний того, какие данные необходимо хранить, минимальных и максимальных сроков хранения и доступа…[Продолжить чтение]
Смотреть видео
Лучшие практики управления метаданными
Дата вебинара: вторник, 25 мая | 11:00 EDT, 16:00 BST
На предыдущих вебинарах мы рассказывали, как единое управление данными дает организациям конкурентное преимущество, но многие организации не могут решить, с чего начать. Надежное управление метаданными служит важной основой для ваших инициатив по управлению данными. На этом занятии мы разберем следующее: что означает управление метаданными, несколько распространенных передовых практик, которые помогут вашей организации начать работу с OneTrust…[Продолжить чтение]
Смотреть видео
НДПА Таиланда: что нужно знать
Дата вебинара: 11 мая 2021 г. | 15:00 GMT + 7 | 9:00 BST
Принятие закона Таиланда о защите персональных данных (PDPA) было отложено до 1 июня 2022 года, что приведет к значительному изменению существующих стандартов защиты данных. В связи с переносом даты вступления в силу важно, чтобы компании оценили свои политики конфиденциальности и были должным образом подготовлены к предстоящим требованиям соответствия.Посмотрите запись этого вебинара, чтобы услышать, как партнеры OneTrust DataGuidance обсуждают дальнейшие последствия отсрочки и ключевые требования в соответствии с PDPA Таиланда … [Продолжить чтение]
Смотреть видео
Руководство по соответствию файлам cookie CNIL
Дата публикации: 26 апреля 2021 г.
1 октября CNIL опубликовал обновленные рекомендации по использованию файлов cookie и связанных с ними технологий отслеживания. В то время как CNIL в настоящее время продолжает применять предыдущие рекомендации по файлам cookie, от…[Продолжить чтение]
Скачать сейчас
Een Datalek, Wat nu?
Дата вебинара: 26 мая 2021 г., CEST
In de afgelopen maanden zijn datalekken в Нидерландах niet alleen voorpaginanieuws geworden, maar ook een van de belangrijkste oorzaken van boetes en maatregelen door toezichthouders. Еще одна программа управления инцидентами, которая позволяет избежать проблем с конфиденциальностью, делает все возможное, чтобы обеспечить конфиденциальность. Попробуйте веб-семинар для экспертов OneTrust по теме…[Продолжить чтение]
Смотреть видео
Руководство по вопросам конфиденциальности по серии Digital Adtech: во всем мире
Дата вебинара: четверг, 6 мая 2021 г. | 10:00 EDT, 15:00 BST
Цифровой маркетинг и реклама — ключевые компоненты любых успешных глобальных маркетинговых кампаний. Однако теперь компании должны сбалансировать маркетинговые цели с новыми глобальными правилами конфиденциальности и более внимательными потребителями. Организации должны следить за тем, чтобы они соблюдали новейшие требования к файлам cookie и технологиям отслеживания, продолжая при этом поддерживать выбор и прозрачность для потребителей.Присоединяйтесь к нам на второе мероприятие в нашем … [Продолжить чтение]
Смотреть видео
Управление инцидентами 101: что нужно знать
Дата вебинара: четверг, 22 апреля 2021 г.
В последние годы утечки данных стали новостями на первых полосах газет, а также одной из основных причин принудительных мер и штрафов со стороны регулирующих органов по всему миру. Если ваша программа управления инцидентами предназначена только для устранения нарушений, вы оставляете огромную брешь в своих усилиях по обеспечению безопасности и конфиденциальности.Присоединяйтесь к эксперту по продуктам OneTrust, чтобы узнать, как … [Продолжить чтение]
Смотреть видео
3 ключа к единой программе управления данными
Дата вебинара: 27 апреля 2021 г. | 11:00 EDT, 16:00 BST
Единое управление данными дает организациям конкурентное преимущество. Правильно управляемые данные приводят к более высокому качеству данных, большему анализу данных и более надежным данным. На этом занятии мы расскажем, как запуск программы управления данными, использующей обнаружение и классификацию на основе искусственного интеллекта наряду с полностью интегрированным соответствием, может: помочь создать надежную основу данных…[Продолжить чтение]
Смотреть видео
Знай свои законы: ПОПИЯ ЮАР
Дата вебинара: 22 апреля 2021 г., 16:00 CAT | 10:00 EDT | 15:00 BST
ЮАР POPIA была принята в 2013 году, и с тех пор вступили в силу многие постановляющие положения. 1 июля 2020 года вступил в силу раздел 114 (1), что означает, что ответственные стороны должны будут соблюдать все оставшиеся положения POPIA к 1 июля 2021 года. Присоединяйтесь к группе аналитиков конфиденциальности OneTrust DataGuidance для участия в подробном веб-семинаре, посвященном изучению ситуации в Южной Африке. ПОПИЯ на…[Продолжить чтение]
Смотреть видео
Руководство по вопросам конфиденциальности для серии Digital Adtech: США
Дата вебинара: вторник, 20 апреля 2021 г.
Цифровой маркетинг и реклама — ключевые компоненты любых успешных глобальных маркетинговых кампаний. Однако теперь компании должны сбалансировать маркетинговые цели с новыми глобальными правилами конфиденциальности и более внимательными потребителями. Организации должны следить за тем, чтобы они соблюдали новейшие требования к файлам cookie и технологиям отслеживания, продолжая при этом поддерживать выбор и прозрачность для потребителей.Присоединяйтесь к нам для серии экспертных панелей, разработанных … [Продолжить чтение]
Смотреть видео
Автоматизируйте отображение данных с помощью OneTrust DataDiscovery
Дата вебинара: | 22 апреля 2021 г. | 11:00 EDT, 16:00 BST
Поскольку 90% мировых данных было создано только за последние два года, большие данные стали движущей силой бизнеса, экономики и повседневной жизни. Сложные экосистемы данных создают различные проблемы для бизнеса и увеличивают риски, связанные с личными, конфиденциальными и неожиданными данными.Чтобы решить эту современную проблему данных, компаниям необходимо «знать свои данные» … [Продолжить чтение]
Смотреть видео
Глобальная политика конфиденциальности данных Всемирного банка: внедрение и внедрение
Дата вебинара: 29 апреля 2021 г., 11:00 по восточноевропейскому времени | 16:00 BST | Примеры использования, Вебинары
Присоединяйтесь к беседе у очага OneTrust Champions с директором Всемирного банка по вопросам конфиденциальности Тами Доккен и генеральным директором OneTrust Кабиром Бардаем, где они обсудят, как Тами возглавила внедрение глобальной политики конфиденциальности Всемирного банка.Она расскажет, как была создана система конфиденциальности Всемирного банка, передовой опыт внедрения политики конфиденциальности и успешные стратегии по вовлечению сотрудников в конфиденциальность. Тами также расскажет о ГВБ … [Продолжить чтение]
Смотреть видео
Закон Панамы о защите личных данных
Дата вебинара: вторник, 6 апреля 2021 г.
Закон Панамы №81 о защите персональных данных вступит в силу 29 марта 2021 года и принесет с собой новый набор проблем соответствия для организаций, осуществляющих операции в Панаме. Закон о защите данных регулирует принципы, права, обязанности и процедуры, применимые к защите личных данных в Панаме, а также лиц, которые … [продолжить чтение]
Смотреть видео
Руководство по конфиденциальности мобильных приложений
электронные книги
Создайте мобильное приложение, обеспечивающее персонализацию и повышающее лояльность к бренду.Руководство по конфиденциальности мобильных приложений OneTrust охватывает текущую ситуацию с мобильными приложениями, а также нормативные и технические требования. Изучите передовой опыт … [Продолжить чтение]
Скачать сейчас
Прокладывая путь к анализу данных
Дата вебинара: | 6 апреля 2021 г., вторник | 11:00 EDT, 16:00 BST
Чтобы создать пользующийся доверием бренд, организации должны использовать стратегию обработки данных, которая преобразует инициативы по соблюдению нормативных требований в аналитические данные.Настоящая аналитика данных основана на соблюдении нормативных требований и распространяется на людей, процессы и технологии, задействованные в использовании и преобразовании данных в материальную ценность для бизнеса. На этом веб-семинаре мы обсудим, как организации могут проложить путь к анализу данных … [Продолжить чтение]
Смотреть видео
Что нужно знать о трансграничной передаче данных в Великобритании после Брексита
Дата вебинара: четверг, 8 апреля 2021 г. | 11:00 BST
В прошлом году был внесен ряд изменений в правила, которые оказали значительное влияние на передачу данных для организаций в Великобритании.На этом веб-семинаре мы собираемся выйти за рамки Schrems II и UK Adequacy, чтобы поговорить о других обязательствах по соблюдению конфиденциальности, которые необходимо учитывать при передаче данных через границу, в том числе: Ключевые обязательства для данных … [продолжить чтение]
Смотреть видео
OneTrust приобретает конверсию: создание технологической платформы доверия
Дата вебинара: 7 апреля 2021 г., 8:00 по тихоокеанскому времени, 11:00 по восточному стандартному времени, 16:00,
Присоединяйтесь к этому вебинару, чтобы узнать, как мы планируем преобразовать лидера в области этики и соблюдения нормативных требований в платформу OneTrust для создания технологической структуры доверия в организации.Вы услышите от генеральных директоров обеих компаний подробную информацию о линейке продуктов и о том, как вы можете укрепить доверие, объединив конфиденциальность, этику и соблюдение требований в более широкую систему безопасности, управления данными, сторонних поставщиков … [Продолжить чтение]
Смотреть видео
Конфиденциальность в зале заседаний: de statistieken, отношения КПЭ умирают u nodig heeft
Дата вебинара: 21 апреля 2021 г.
Программа de steun van belanghebbenden voor een PrivacyВстретил zoveel informatie in het spel, hoe weet u dan wat u in de Boardroom moet bespreken? In deze sessions word de belangrijkste statistieken en resultaten, dashboards en rapporten bekeken die de … [Продолжить чтение]
Смотреть видео
Знай свои законы: APPI в Японии
Дата вебинара: пятница, 19 марта, 12:00 JST
Японский APPI был одним из первых законов о защите данных, введенных в Азии.После значительных поправок 30 мая 2017 года вступила в силу пересмотренная версия, что позволяет Японии … [продолжить чтение]
Смотри
Как обнаружение данных улучшает рабочий процесс DSAR
Дата вебинара: 18 марта 2021 г. | 11:00 по восточноевропейскому времени, 15:00 по Гринвичу
Глобальные законы о конфиденциальности, такие как CCPA и GDPR, изменили способ реагирования организаций на запросы субъектов данных и прав потребителей. Эти законы, вызванные растущей частотой утечки данных и все более широким использованием личных данных корпорациями, создали множество проблем для организаций, отвечающих на запросы потребителей о личных данных.В результате организациям нужен эффективный способ … [Продолжить чтение]
Смотреть видео
Панель «Женщины в конфиденциальности»
Дата вебинара: | 25 марта 2021 г. | 11:00 по восточноевропейскому времени, 15:00 по Гринвичу
В OneTrust мы гордимся тем, что поддерживаем многих женщин по всему миру, которые возглавляют и формируют ландшафт конфиденциальности данных. В ознаменование Месяца женской истории мы хотим отметить вклад женщин в нашу отрасль. На этой панели мы соберем ведущих женщин в сфере конфиденциальности, которые стремятся к тому, чтобы их организации пользовались большим доверием.Мы обсудим их … [Продолжить чтение]
Смотреть видео
Вирджиния CDPA Lands: что вам нужно знать
Дата вебинара: четверг, 4 марта 2021 г., 14:00 EST | 11:00 PST
Вирджиния официально является вторым штатом после Калифорнии, принявшим всеобъемлющий закон о конфиденциальности. Закон о защите данных потребителей («CDPA») устанавливает определения, касающиеся точных данных геолокации, целевой рекламы и … [Продолжить чтение]
Смотри
Обновление конфиденциальности в Латинской Америке
Дата вебинара: среда, 3 марта 2021 г., 10:00 по восточноевропейскому времени
Обновление конфиденциальности в Латинской Америке Присоединяйтесь к нам и группе экспертов для получения обновленной информации о конфиденциальности в Чили, Аргентине и Мексике.В этой панели мы проанализируем развитие … [Продолжить чтение]
Смотри
Реакция на принятие решений в Великобритании и анализ
Дата вебинара: четверг, 25 февраля 2021 г., 9:00 EST | 14:00 по Гринвичу
Присоединяйтесь к OneTrust DataGuidance на реакционном веб-семинаре 25 февраля, посвященном проекту решения Комиссии. Во время презентации мы обсудим первые мысли по поводу решения и что это … [Продолжить чтение]
Смотри
Демонстрация мобильного приложения
Дата публикации: 22 января 2021 г.,
OneTrust Mobile App Consent помогает владельцам приложений, разработчикам и издателям лучше понять состояние конфиденциальности приложений и получить действительное согласие на соблюдение, отслеживание и персонализацию.Наше решение позволяет предприятиям … [Продолжить чтение]
Смотри
Глобальный обзор конфиденциальности за 4 квартал
Дата публикации: 15 января 2021 г.,
В связи с выпуском отчета OneTrust DataGuidance Privacy Review: Q4 2020, наша команда аналитиков изучает основные новости за последний квартал 2020 года, обсуждает глобальные тенденции в области конфиденциальности и выделяет … [Продолжить чтение]
Смотри
CPRA Live: вопросы и ответы
Дата вебинара: 3 декабря 2020 г. | 10:00 по тихоокеанскому стандартному времени, 13:00 по восточному стандартному времени
Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA или CCPA 2.0) был принят на голосование 3 ноября 2020 года, что означает, что в CCPA грядут изменения. Присоединяйтесь к нам в прямом эфире … [Продолжить чтение]
Смотри
POPIA: ваш путь к соблюдению требований
Дата вебинара: вторник, 1 декабря 2020 г. | 13:00 GMT, 15:00 SAST
Присоединяйтесь к OneTrust, когда мы проводим вебинар, на котором обсуждаются подготовительные мероприятия, которые организации могут предпринять в настоящее время для соблюдения Закона Южной Африки о защите личной информации 2013 года в переходный период…[Продолжить чтение]
Смотри
Чешский семинар по конфиденциальности: ноябрь 2020 г.
Дата вебинара: среда, 25 ноября | 10:00 по Гринвичу, 11:00 по центральноевропейскому времени
Звонок всем чешским профессионалам в области конфиденциальности! OneTrust представляет 2-й «Чешский семинар по вопросам конфиденциальности», бесплатное интерактивное занятие, в ходе которого профессионалы в области конфиденциальности из Чешской Республики обсуждают передовой опыт. Присоединяйтесь к внутренней конфиденциальности OneTrust … [Продолжить чтение]
Смотри
CPRA против CCPA: что вам нужно знать
Дата вебинара: среда, 11 ноября | 10:00 по тихоокеанскому стандартному времени, 13:00 по восточному стандартному времени
Закон Калифорнии о правах на неприкосновенность частной жизни и обеспечении соблюдения (CPRA), также именуемый CCPA 2.0, вносит ряд поправок в требования Закона о конфиденциальности потребителей Калифорнии (CCPA). Пока … [Продолжить чтение]
Смотри
CPRA: реакция и анализ
Дата вебинара: 9 ноября 2020 г. | 9:00 по тихоокеанскому времени, 12:00 по восточному времени, 17:00 по Гринвичу
После голосования по Предложению 24 в Калифорнии был принят Закон Калифорнии о правах на конфиденциальность от 2020 года («CPRA») — или CCPA 2.0. Хотя CPRA не будет вступать в … [Продолжить чтение]
Смотри
LGPD здесь: что вам нужно знать
Дата вебинара: среда, 23 сентября | 10:00 EDT, 11:00 BRT, 15:00 BST
После длительной процедуры, которая длилась более двух лет, наконец-то появился Общий закон Бразилии о защите личных данных («LGPD»).LGPD вступил в силу 18 сентября 2020 года, за исключением … [Продолжить чтение]
Смотри
Сравнение законов о конфиденциальности: GDPR и PIPEDA
Дата вебинара: вторник, 8 сентября 2020 г. | 12:00 EDT, 17:00 BST
Присоединяйтесь к OneTrust DataGuidance и Edwards, Kenny & Bray LLP на веб-семинаре, посвященном Закону о защите личной информации и электронных документах («PIPEDA»), который регулирует конфиденциальность в Канаде на федеральном уровне…[Продолжить чтение]
Смотри
Как OneTrust помогает с LGPD
Дата вебинара: среда, 9 сентября 2020 г., 11:00, восточноевропейское время
Узнайте, как подготовиться к дате вступления в силу LGPD с помощью ускоренной реализации OneTrust в тот же день. Внедрить процессы прав субъектов данных LGPD и упростить настройку с помощью предварительно заполненного LGPD … [Продолжить чтение]
Смотри
Панель «Женщины в конфиденциальности»
Дата вебинара: среда, 26 августа 2020 г. | 11:00 EDT, 16:00 BST
Присоединяйтесь к нам 26 августа на панели «Женщины в конфиденциальности», на которой представлены некоторые из ведущих женщин-лидеров в области конфиденциальности, которые делятся своим опытом роста и трудностями, а также советами…[Продолжить чтение]
Смотри
Файлы cookie: хорошее, плохое и уродливое
Дата вебинара: среда, 29 апреля 2020 г., 11:00 (Лондон, GMT + 01: 00) | Вебинары
Баннеры cookie повсюду благодаря изменяющимся отношениям между Директивой о конфиденциальности, GDPR и U.Новый CCPA С. Последние рекомендации и прецедентное право от Комиссара по информации Великобритании … [продолжить чтение]
Смотри
Стандарты ISO27000 и GDPR — дублирование и пробелы
Дата вебинара: вторник, 28 апреля 2020 г., 10:00 CET | 09:00 GMT (1 час) | Вебинары
На этом веб-семинаре мы обсудим, как группы по безопасности и конфиденциальности разделяют общую цель: защитить организацию от репутационного ущерба, судебных исков и проблем со стороны регулирующих органов.С одной стороны, ISO 27001 … [Продолжить чтение]
Смотри
5-этапный контрольный список соответствия CCPA
Дата публикации: 12 февраля, 2020
Закон Калифорнии о конфиденциальности потребителей (CCPA) устанавливает новые права на конфиденциальность данных для потребителей из Калифорнии, требуя от компаний, ведущих бизнес в Калифорнии, вносить структурные изменения в свои программы обеспечения конфиденциальности.Согласно … [продолжить чтение]
Скачать сейчас
ISO 27701 — Как OneTrust помогает
Постоянно меняющийся ландшафт конфиденциальности и безопасности информации требует руководства о том, как действовать в этой постоянно растущей сфере.Международные стандарты были установлены для предоставления рекомендаций о том, как организации … [Продолжить чтение]
Скачать
Обновление видения и стратегии OneTrust
Дата вебинара: 16 июля 2019 г., I 1:00 ET
Послушайте, что сказал генеральный директор OneTrust Кабир Бардей, как он обсуждает рост OneTrust, новые функции продукта и видение будущего по мере появления новых правил и требований к конфиденциальности, в том числе для потребителей из Калифорнии…[Продолжить чтение]
регистр
Отчет по сравнительному анализу CCPA
Дата публикации: 29 апреля 2019 г. | Аналитические отчеты
Быстрое принятие Закона Калифорнии о конфиденциальности потребителей законодательным собранием Калифорнии прошлым летом застало многих профессионалов в области конфиденциальности врасплох. Учитывая поспешность, с которой он стал законом, поскольку … [Продолжить чтение]
Скачать сейчас
Справочник по управлению рисками для поставщиков
Дата публикации: 11 февраля 2019 г. | Брошюры
Огромные объемы личных данных передаются сторонним поставщикам и от них, что создает множество проблем с соблюдением требований конфиденциальности и безопасности.С новыми правилами и частыми утечками данных, касающихся сторонних поставщиков, надлежащим образом … [Продолжить чтение]
Скачать сейчас

Тайвань — Обзор защиты данных | Инструктивная записка

июль 2020

1.ЗАКОН

1.1. Основные законы, постановления, директивы, законопроекты

Сбор, обработка и использование личных данных на Тайване регулируется Законом о защите личной информации 2015 г. («PDPA») и Правилами применения Закона о защите личных данных («Правила исполнения»), а также другими применимые постановления или постановления, изданные соответствующими компетентными органами, в частности отраслевые правила по планам поддержания безопасности, установленные регулирующим органом в различных отраслях.Последние поправки к PDPA были обнародованы в конце 2015 года и вступили в силу 15 марта 2016 года. Более того, с учетом эффективности Общего регламента защиты данных (Регламент (ЕС) 2016/679) («GDPR») правительство Тайваня («Правительство») планирует внести дополнительные поправки в PDPA для соответствия стандартам GDPR и получить решение о статусе соответствия от ЕС. Правительство провело несколько общественных слушаний для получения комментариев общественности по поправкам к PDPA в 2019 году. Среди различных тем, обсуждаемых в ходе общественных слушаний, правительство рассматривает принятие обязательств по уведомлению об утечке данных и ограничений на трансграничную передачу данных, аналогичных тем, которые предусмотрены в GDPR.Правительство также планирует создать независимый орган по защите данных.

1,2. Руководящие принципы

Нет никаких руководящих принципов, опубликованных правительством или какой-либо частной организацией в отношении защиты персональных данных. Правительство призвало государственные учреждения, компании и организации принять свои собственные внутренние политики защиты персональных данных или руководящие принципы рабочих процедур, когда PDPA был значительно пересмотрен в 2012 году, поэтому многие правительственные учреждения и компании предусмотрели такие внутренние руководящие принципы.

1,3. Прецедентное право

Было вынесено несколько заслуживающих внимания судебных решений:

В январе 2017 года Высший административный суд («Верховный суд») отклонил запрос восьми тайваньских граждан об удалении их медицинских данных из базы данных Национального управления медицинского страхования Министерства здравоохранения и социального обеспечения («NHIA»). NHIA передавало медицинские данные лиц, зарегистрированных в Национальной системе медицинского страхования Тайваня, третьим лицам в исследовательских целях.NHIA утверждало, что данные, которые оно передало таким третьим сторонам, были зашифрованы шесть раз, чтобы личность не могла быть идентифицирована, и, следовательно, PDPA не применялся к разглашению данных. NHIA также заявила, что содействие академическим исследованиям в целях улучшения здоровья тайваньских граждан является одной из ее официальных обязанностей, и поэтому она должна иметь полномочия и разрешение на публикацию анонимных данных. Восемь граждан не согласились с такими аргументами и заявили, что в соответствии с PDPA они имеют право потребовать от NHIA прекратить использование их личных данных.Верховный суд поддержал позицию NHIA и постановил, что, хотя опубликованные данные не являются полностью анонимными, официальной обязанностью NHIA является принятие мер по улучшению здоровья граждан Тайваня. Кроме того, Верховный суд подчеркнул, что в данном случае общественные интересы, такие как улучшение здоровья граждан, перевешивают частные интересы, такие как право человека контролировать свои данные. Истцы по делу обратились с ходатайством о судебном пересмотре Верховным судом судебного юаня (т.е. конституционное толкование), и дело все еще находится на рассмотрении.

В июле 2017 года Окружной суд Тайбэя (далее — «Окружной суд») вынес свое первое решение, комментируя достоинства «права на забвение». Бывший владелец профессиональной бейсбольной команды подал в суд на Google LLC с просьбой удалить все негативные новостные сообщения о нем в связи со скандалами с мошенничеством в бейсбольной команде, которой он владел много лет назад. Окружной суд постановил, что в Гражданском кодексе Тайваня нет такой концепции права на забвение и что в соответствии с PDPA субъект данных может запросить удаление своих личных данных только в том случае, если данные неверны, цель обработки данных больше не существует, или данные были собраны или обработаны незаконно.Истец обжаловал решение окружного суда, однако 20 июня 2018 года Высокий суд Тайваня отменил дело по той же причине, что и решение окружного суда.

Районный суд вынес решение по первому групповому иску PDPA 31 октября 2019 года. Групповой иск был подан Фондом потребителей от имени группы лиц против зарегистрированного туристического агентства. В июне 2017 года туристическое агентство обнаружило, что к его компьютерной системе обратился неизвестный источник, и немедленно приняло меры, чтобы уведомить своих клиентов, сообщить в полицию, опубликовать объявление и проверить свою ИТ-систему.Некоторые клиенты были обмануты в этот период, несмотря на попытки туристического агентства предупредить их. Фонд потребителей возбудил коллективный иск против туристического агентства для потерпевших с требованием гражданской компенсации. Окружной суд постановил, что туристическое агентство не несет ответственности, поскольку оно предприняло необходимые шаги для обеспечения безопасности своей ИТ-системы, а также для предупреждения потребителей. Фонд потребителей обжаловал это решение, и дело все еще рассматривается в Высоком суде Тайваня.

2.ОБЛАСТЬ ПРИМЕНЕНИЯ

2.1. На кого распространяются законы / правила?

PDPA применяется к деятельности, связанной с персональными данными, осуществляемой государственным агентством, то есть государственным агентством или административным юридическим лицом на уровне центрального или местного правительства, которое наделено полномочиями осуществлять суверенную власть. PDPA также применяется к негосударственным учреждениям, в том числе частному сектору, всем физическим лицам и всем негосударственным организациям. Правительственные и неправительственные учреждения подчиняются двум различным наборам правил, при этом правительственным учреждениям предоставляется больше свободы действий в отношении того, как можно собирать и использовать личные данные.Тем не менее, государственное учреждение несет более строгую гражданскую ответственность, чем негосударственное учреждение, и поэтому государственному учреждению будет намного сложнее отказаться от своей гражданской ответственности.

2.2. Какие виды обработки покрываются / освобождаются от уплаты налогов?

Все типы обработки подпадают под действие PDPA, независимо от того, производятся ли они автоматическими средствами или традиционным ручным способом, за исключением следующих двух ситуаций:

сбор, обработка или использование личных данных физическим лицом в ходе личной или семейной деятельности; или
сбор, обработка или использование аудиовизуальной информации в общественном месте или публичной деятельности, которая не связана с какими-либо другими личными данными.

3. ОРГАН ПО ЗАЩИТЕ ДАННЫХ | РЕГУЛИРУЮЩИЙ ОРГАН

3.1. Главный регулятор защиты данных

Национальный совет развития взял на себя полномочия и функции Министерства юстиции и стал органом, отвечающим за интерпретацию НДПА и внутреннюю координацию между различными государственными органами в отношении соответствующих вопросов с июля 2018 года. PDPA находится в ведении центральных, местных, муниципальных, окружных и государственных органов, которые регулируют и контролируют коммерческую деятельность негосударственных агентств в каждой отрасли («Компетентные регулирующие органы»).Правительство рассматривает, назначает или формирует одно государственное учреждение, которое будет основным регулятором PDPA на Тайване.

3.2. Основные полномочия, обязанности и ответственность

Компетентные регулирующие органы могут наложить ограничения на международную передачу персональных данных неправительственным агентством и назначить определенные неправительственные агентства для разработки планов по поддержанию безопасности файлов с персональными данными и / или способов удаления этих файлов после прекращения их деятельности. операции.Компетентные регулирующие органы также имеют право проводить проверки на местах определенных неправительственных организаций, если они сочтут это необходимым или если такое неправительственное учреждение предположительно нарушило PDPA. Если Компетентные регулирующие органы обнаруживают какое-либо серьезное несоблюдение, они имеют право публично объявить о соответствующем несоблюдении и установить личности ответственных.

4. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ | ОСНОВНЫЕ ПОНЯТИЯ

Персональные данные: Относится к именам, датам рождения, номерам удостоверений личности, номерам паспортов, характеристикам, отпечаткам пальцев, семейному положению, семье, образованию, роду занятий, медицинским записям, лечению, генетической информации, сексуальной жизни, медицинским осмотрам, уголовным преступлениям. записи, контактная информация, финансовое положение, социальная деятельность и другая информация или данные, которые могут быть использованы для идентификации физического лица, как прямо, так и / или косвенно.

Конфиденциальные данные: Относится к любым личным данным, касающимся медицинских записей, лечения, генетической информации, сексуальной жизни, медицинских осмотров и судимости.

Контроллер данных | Обработчик данных: PDPA специально не использует какие-либо термины, используемые европейскими странами, такие как «контролер данных», «обработчик данных» или «владелец данных», для обозначения соответствующих сторон в деятельности, связанной с персональными данными. PDPA просто подчиняет «правительственные учреждения» и «неправительственные учреждения» двум различным наборам правил в отношении действий, связанных с персональными данными.

5. УВЕДОМЛЕНИЕ | РЕГИСТРАЦИЯ

5.1. Требования и краткое описание

В 2010 году PDPA отменила предыдущую систему регистрации, поэтому для сбора и использования личных данных на Тайване не требуется никакого уведомления или регистрации в каком-либо государственном органе. Однако в PDPA введено требование об уведомлении, согласно которому любой, кто собирает персональные данные, должен будет уведомить субъекта данных об определенных вопросах.

6. ПРАВА И ОБЯЗАННОСТИ КОНТРОЛЛЕРА ДАННЫХ

PDPA не использует каких-либо конкретных терминов для обозначения стороны, которая выполняет функцию контроллера данных, как это определено в GDPR.PDPA применяется ко всем государственным и негосударственным учреждениям, которые собирают, обрабатывают и используют личные данные.

Коллекция

В соответствии со статьей 19 PDPA, когда негосударственное агентство собирает неконфиденциальные личные данные, он должен иметь «конкретную цель» и соответствовать любому из следующих законодательных оснований:

обработка специально разрешена законом;
негосударственное агентство и субъект данных заключили или ведут переговоры о контракте;
данные уже находятся в открытом доступе в связи с раскрытием субъектом данных или законным образом;
это необходимо для сбора статистических данных или академических исследований академическим исследовательским учреждением в общественных интересах, при условии, что вся информация, достаточная для идентификации субъекта данных, была удалена;
получено согласие субъекта данных;
нужно ради общественного интереса;
данные были собраны из источника, доступного для сборщика, если интересы субъекта данных не имеют приоритета над интересами сборщика; или
, это не повредит правам или преимуществам субъекта данных.

Использование

Персональные данные используются в рамках конкретной цели, для которой они были собраны. Если он используется для других целей, должно быть выполнено одно из следующих условий:

такое дополнительное использование осуществляется в соответствии с конкретным положением, изложенным в законе;
необходимо для продвижения общественных интересов;
предназначен для предотвращения риска для жизни, тела, свободы или собственности субъекта данных;
это предотвращение материального ущерба правам или выгодам третьих лиц;
это необходимо для сбора статистических данных или академических исследований академическим исследовательским учреждением в общественных интересах, при условии, что вся информация, достаточная для идентификации субъекта данных, была удалена;
получено согласие субъекта данных; или
такое дополнительное использование принесет пользу субъекту данных.

Требуемое уведомление для субъектов данных

При сборе персональных данных негосударственный орган уведомляет субъектов данных по следующим вопросам:

название неправительственного агентства, которое собирает данные;
цель (цели) сбора персональных данных;
тип собираемых персональных данных;
срок, место и способ использования, а также лицо (а), которое может использовать персональные данные;
права субъекта данных в соответствии с PDPA и порядок осуществления таких прав; и
последствия непредоставления субъектом данных необходимых личных данных.

Сбор и использование конфиденциальных персональных данных

В соответствии со статьей 6 PDPA конфиденциальные личные данные не могут быть собраны, обработаны или использованы, если не применяется любая из следующих ситуаций:

, если это специально предусмотрено законом;
, когда государственному учреждению необходимо выполнить свои законные обязанности или негосударственному агентству — выполнить свое юридическое обязательство, и надлежащие меры безопасности принимаются до или после такого сбора, обработки или использования;
, когда субъект данных сам обнародовал такую информацию или когда соответствующая информация была опубликована на законных основаниях;
, когда необходимо провести статистику или другие академические исследования, государственное учреждение или академическое исследовательское учреждение может собирать, обрабатывать или использовать личные данные в целях лечения, общественного здравоохранения или предотвращения преступности, если эта информация не приводить к идентификации конкретного лица после его обработки провайдером или из-за разглашения сборщиком;
, когда необходимо помочь государственному учреждению в выполнении его юридических обязанностей или негосударственному учреждению в выполнении его юридических обязательств, и надлежащие меры безопасности принимаются до или после такого сбора, обработки или использования; или
, если субъект данных дал письменное согласие, однако, если использование таких данных превышает необходимый объем конкретной цели или существует какое-либо другое ограничение в соответствии с любым другим законом; кроме того, такое согласие, если оно получено, не может противоречить свободной воле субъекта данных.

7. ПРАВА И ОБЯЗАННОСТИ ОБРАБОТЧИКА ДАННЫХ

Согласно PDPA термин «обработчик данных» не существует. Похожая концепция — это уполномоченное агентство, которое было назначено государственным агентством или неправительственным агентством для сбора, обработки или использования персональных данных для и от имени такого правительственного или неправительственного агентства.

Согласно статье 8 Правил исполнения, правительственное или негосударственное учреждение должно принимать надлежащие меры надзора при использовании услуг уполномоченного агентства для сбора, обработки или использования соответствующих персональных данных.Вышеупомянутые меры контроля включают, но не ограничиваются, следующее:

объем, типы, конкретные цели и продолжительность такого сбора, обработки или использования;
меры безопасности данных, которые должны быть приняты уполномоченным органом;
третье лицо, если таковое имеется, по заказу уполномоченного агентства;
, когда уполномоченное агентство или его сотрудник нарушает PDPA или другие законы и правила о защите персональных данных;
вопросы с оговоркой для получения инструкций от государственного или негосударственного агентства, если таковые имеются; и
уполномоченное агентство должно вернуть любые устройства, содержащие персональные данные, и удалить файлы с персональными данными, которые хранятся и хранятся им в связи с выполнением услуг, когда услуга была прекращена, прекращена или аннулирована.

Кроме того, государственные и негосударственные агентства должны периодически подтверждать, что уполномоченное агентство приняло вышеупомянутые меры, и вести учет результатов такого подтверждения.

8. СОГЛАШЕНИЯ С КОНТРОЛЛЕРОМ И ОБРАБОТКОЙ ДАННЫХ

PDPA конкретно не регулирует какие-либо соглашения или права соглашений между государственным агентством, а также негосударственным агентством и уполномоченным агентством. Учитывая, что государственное агентство и неправительственное агентство должны принимать надлежащие меры надзора при использовании услуг уполномоченного агентства в соответствии со статьей 8 Правил исполнения, рекомендуется, чтобы государственное или неправительственное агентство вступило в соглашения с уполномоченными ими агентствами, определяющие соответствующие вопросы.

9. ПРАВА СУБЪЕКТОВ ДАННЫХ

PDPA уделяет приоритетное внимание защите субъекта данных и позволяет субъекту данных осуществлять свои следующие права, от которых нельзя отказаться или освободить:

доступ к своим личным данным для их проверки и просмотра;
имея копию персональных данных;
дополнение или изменение персональных данных;
потребовать от сборщика прекратить сбор, обработку или использование персональных данных; и
с требованием к сборщику удалить личные данные.

10. ОФИЦЕР ПО ЗАЩИТЕ ДАННЫХ

10.1. ДПО — обязательный прием (да / нет)

Нет обязательного требования о назначении сотрудника по защите данных (DPO). Согласно PDPA, назначение DPO будет на усмотрение компании. Однако Правила исполнения предполагают, что компания должна выделить достаточный персонал для решения соответствующих вопросов.

10.2. Требования

Не применимо.

11. УВЕДОМЛЕНИЕ О НАРУШЕНИИ ДАННЫХ

11.1. Общие обязательства (да / нет)

В соответствии со статьей 12 PDPA, в случае, если инцидент утечки данных происходит из-за несоблюдения PDPA государственным или негосударственным учреждением, правительственное или неправительственное агентство должно уведомить затронутые данные. субъект надлежащим образом после расследования инцидента.

11.2. Отраслевые обязательства

PDPA не требует подачи каких-либо отчетов в государственный орган относительно любого инцидента, связанного с безопасностью личных данных.Однако центральный компетентный орган в соответствии с PDPA может потребовать, чтобы любая отрасль разработала план обеспечения безопасности файлов с личными данными. Иногда центральный компетентный орган для определенной отрасли может потребовать, чтобы компании, работающие в такой отрасли, разработали планы безопасности, которые потребовали бы, чтобы компании уведомляли центральный компетентный орган и / или местное правительство в случае крупного инцидента, связанного с утечкой данных, который может повлиять на нормальную деятельность бизнеса или интересы множества субъектов данных.

12. САНКЦИИ

В соответствии с PDPA совершение любого из следующих нарушений с намерением получить незаконную прибыль для себя или третьей стороны или с намерением нанести ущерб интересам другого, тем самым причиняя или потенциально причиняя ущерб другому, может привести к уголовному наказанию:

незаконный сбор, обработка или использование персональных данных;
невыполнение приказа центрального государственного органа, устанавливающего ограничения на международную передачу персональных данных; или
незаконное изменение или удаление файлов личных данных или использование любых других незаконных средств, влияющих на точность файлов личных данных.

Кроме того, может быть наложен административный штраф за несоблюдение требований PDPA, таких как сбор или обработка персональных данных без установленных законом оснований, с использованием персональных данных за пределами указанной цели, в соответствии с которой личные данные были собраны или несоблюдение ограничений на международную передачу личных данных. В случае несоблюдения требований об уведомлении, маркетинговых ограничений, требований информационной безопасности или обязательств по ответу на запросы субъектов данных орган может распорядиться о внесении исправления в определенный срок и наложить административный штраф, если исправление не будет сделано в течение такой срок.

13. ДОПОЛНИТЕЛЬНЫЕ СООТВЕТСТВУЮЩИЕ ТЕМЫ

13.1. Передача данных и аутсорсинг

Что касается международной передачи персональных данных, обратите внимание, что в соответствии с PDPA, компетентный орган имеет право по своему усмотрению издать приказ об ограничении или запрете международной передачи персональных данных в следующих ситуациях:

передача нанесет ущерб каким-либо существенным национальным интересам;
передача запрещена или ограничена международным договором или соглашением;
страна, в которую должны быть переданы персональные данные, не обеспечивает надежной правовой защиты персональных данных, тем самым затрагивая / ставя под угрозу интересы субъектов данных; или
цель передачи — обойти ограничения PDPA.

25 сентября 2012 года Национальная комиссия по связи издала общий приказ, запрещающий компаниям связи и вещания передавать личные данные абонентов в материковый Китай на том основании, что законы о защите личных данных в материковом Китае все еще неадекватны.

Кроме тех, которые обсуждаются в разделах 7 и 8 выше, дополнительных требований к аутсорсингу в рамках PDPA нет. Однако к финансовым учреждениям предъявляются строгие требования в отношении своей деятельности по аутсорсингу, которые включают получение предварительного одобрения компетентного органа финансовых учреждений или даже согласия субъектов данных.

13,2. Работа

Сбор, обработка и использование личных данных сотрудников также регулируются PDPA. Работодатель может собирать личные данные кандидатов на вакансию и сотрудников на основе потенциальных или существующих отношений с ними по трудовому договору. Работодатель должен выполнить обязательство по уведомлению и уведомить кандидатов на вакансии / сотрудников о необходимых вопросах уведомления в соответствии с PDPA, как указано в разделе 6 выше. Что касается конфиденциальных персональных данных, работодатель также должен соблюдать ограничения, предусмотренные статьей 6 Закона о защите личных данных, e.г. если работодатель намеревается получить сведения о судимости конкретного кандидата на работу, он должен получить письменное согласие кандидата на работу, если иное не разрешено другими законами и законами.

13,3. Сохранение данных

Статья 11 PDPA требует, чтобы личные данные удалялись по истечении срока хранения. Тем не менее, PDPA нейтрально относится к сроку хранения. В принципе, это будет определяться целями обработки и потенциальной необходимостью продолжать хранить данные после того, как цели больше не существуют.

14. ДРУГИЕ КОНКРЕТНЫЕ ЮРИСДИКЦИОННЫЕ ВОПРОСЫ

Согласие

До последних поправок к PDPA, все согласие в рамках PDPA должно было быть получено в письменном виде, вручную или в электронном виде. С 15 марта 2016 года, за исключением согласия на сбор и использование конфиденциальных персональных данных и согласия субъекта данных на отказ от своего права требовать прекращения или приостановки использования соответствующих персональных данных в случае спора или когда конкретная цель отсутствует больше не существует, согласие, необходимое для решения других вопросов, может быть в других форматах.Что касается того, может ли это быть явным или подразумеваемым согласием, то получить подразумеваемое согласие от субъекта данных возможно только в том случае, если данные собираются непосредственно от него / нее.

Специальное положение о маркетинговой деятельности

На Тайване использование личных данных в маркетинговых целях подлежит дополнительным ограничениям, помимо упомянутых выше. Когда неправительственное агентство использует персональные данные в маркетинговых целях и субъект данных возражает против этого, неправительственное агентство должно немедленно прекратить использование его / ее персональных данных в маркетинговых целях.Кроме того, когда неправительственное агентство обращается к субъекту данных в маркетинговых целях впервые, неправительственное агентство должно предоставить механизм, позволяющий субъекту данных указать свое возражение против маркетинговой деятельности в любое время и принять соответствующие затраты на это. Например, когда неправительственное агентство проводит маркетинговую кампанию, оно должно предоставить механизм, такой как бесплатный номер телефона, адрес электронной почты или веб-ссылку, для того, чтобы субъект данных мог отказаться от подписки на маркетинг. Информация.

Осуществление Закона об управлении кибербезопасностью

6 июня 2018 года самый первый закон Тайваня о кибербезопасности, Закон об управлении кибербезопасностью 2018 года («Закон о кибербезопасности»), стал официальным статутом Тайваня после того, как было публично объявлено Управлением Президент. С тех пор Исполнительный юань предложил соответствующие правила и положения по обеспечению соблюдения и 21 ноября 2018 г. обнародовал ряд правил и положений (здесь они доступны только на китайском языке) («Правила применения Закона о кибербезопасности»).Закон о кибербезопасности и Положения о применении Закона о кибербезопасности вступили в силу 1 января 2019 года, и соответствующие государственные органы назначают предприятия или организации в качестве « поставщиков критически важной инфраструктуры » соответственно. И Закон о кибербезопасности, и PDPA регулируют безопасность данных и могут частично совпадать в случае инцидента с утечкой данных. В зависимости от того, обозначена ли организация как «поставщик критически важной инфраструктуры» в соответствии с Законом о кибербезопасности, ей может потребоваться соблюдение требований к отчетности как в соответствии с Законом о кибербезопасности, так и PDPA.Требования к отчетности в соответствии с Законом о кибербезопасности очень строгие и жесткие. Уведомление должно быть подано в течение одного часа после того, как регулируемая организация узнает об инциденте кибербезопасности, и регулирующий орган должен ответить в течение двух-восьми часов в зависимости от классификации инцидента кибербезопасности.

Существенный инцидент в области кибербезопасности правительства Тайваня

25 июня 2019 года Министерство государственной службы (MOCS) выпустило пресс-релиз, уведомляющий общественность о том, что 22 июня 2019 года им был получен отчет от посторонних лиц о том, что некоторые иностранные веб-сайты публично раскрыла определенную личную информацию, ранее находившуюся в распоряжении MOCS.MOCS заявило, что такая личная информация содержит исторические обзоры некоторых государственных служащих центральных и местных правительственных агентств Тайваня за период с 1 января 2005 года по 30 июня 2012 года. Число затронутых субъектов данных составляло около 240 000. Эти данные не являются последними данными нынешних государственных служащих правительства, и система, содержащая такие данные, была фактически удалена из системы MOCS с марта 2015 года. MOCS указало, что оно подало отчет в соответствии с применимыми правилами и приняло инициативы по проверке существующей ИТ-системы и устранению любых обнаруженных в ней лазеек.Это был первый инцидент, связанный с утечкой личных данных, о котором правительство официально объявило публично и вызвало дискуссии в различных слоях тайваньского общества.

Влияние GDPR

Правительство подало заявку в ЕС для принятия решения об адекватности в соответствии с GDPR и продолжает диалог с ЕС в этом отношении. Между тем, правительство оценивает необходимость внесения дополнительных поправок в PDPA, чтобы привести PDPA в соответствие с GDPR.