Главная
С 1 июля закон о персональных данных: Федеральный закон от 14 июля 2022 г. N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

С 1 июля закон о персональных данных: Федеральный закон от 14 июля 2022 г. N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

Защита персональных данных: история нерешенных проблем или готовимся к 1 июля 2011 года

14.04.2011

Федеральным законом от 23.12.2010 № 359-ФЗ в очередной третий раз было отсрочено полное вступление в силу Федерального закона от 26.06.2007 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ). С учетом внесенных изменений, информационные системы персональных данных должны быть приведены в соответствии с требованиями действующего законодательства к 1 июля 2011 года. Таким образом, у операторов есть еще некоторое время на проведение необходимых мероприятий по защите персональных данных (далее — ПДн). В рамках данной статьи И.А. Баймакова рассматривает, какие же проблемы остаются нерешенными при применении Федерального закона № 152-ФЗ и подзаконных актов, а также что можно и нужно сделать операторам персональных данных до 1 июля 2011 года.

Содержание

  • Несколько постулатов о защите информации
  • Основные вехи развития законодательства о защите ПДн и существующие проблемы

В соответствии с пунктом 1 статьи 16 Федерального закона от 27. 07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (в ред. от 27.07.2010) защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

«1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.»

Говоря о защите информации в целом, прежде всего следует различать требования, предъявляемые к защите сведений:

  • составляющих государственную тайну;
  • признаваемые коммерческой тайной;
  • персонального характера.

Российское законодательство о защите персональных данных является относительно новым и существует множество нерешенных вопросов, что зачастую препятствует выполнению операторами персональных данных необходимых требований действующего законодательства о персональных данных.

Однако несмотря на значительный комплекс проблем необходимо понимать, что:

1. Все без исключения физические лица являются субъектами ПДн.
2. Все без исключения организации являются операторами персональных данных и должны рассматривать требования Закона о персональных данных с точки зрения обеспечения наших прав и свобод, закрепленных Конституцией РФ.
3. Четкое выполнение требований регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России) — уменьшение рисков манипулирования со стороны персонала и конкурентов.

Несколько постулатов о защите информации

В соответствии с пунктом 1 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (в ред. от 27.07.2010) защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

«1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации. «

Говоря о защите информации в целом, прежде всего следует различать требования, предъявляемые к защите сведений:

  • составляющих государственную тайну;
  • признаваемые коммерческой тайной;
  • персонального характера.

Российское законодательство о защите персональных данных является относительно новым и существует множество нерешенных вопросов, что зачастую препятствует выполнению операторами персональных данных необходимых требований действующего законодательства о персональных данных.

Однако несмотря на значительный комплекс проблем необходимо понимать, что:

1. Все без исключения физические лица являются субъектами ПДн.
2. Все без исключения организации являются операторами персональных данных и должны рассматривать требования Закона о персональных данных с точки зрения обеспечения наших прав и свобод, закрепленных Конституцией РФ.


3. Четкое выполнение требований регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России) — уменьшение рисков манипулирования со стороны персонала и конкурентов.

Основные вехи развития законодательства о защите ПДн и существующие проблемы

История развития законодательства о защите персональных данных в мире насчитывает не одно десятилетие. Основным международным документом является Конвенция «О защите физических лиц при автоматизированной обработке персональных данных» ETS-108 (Страсбург, 28 января 1981 г.), которая была принята государствами-членами Совета Европы с целью обеспечения на территории каждой из сторон договора уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой его персональных данных.

Российской Федерацией данная конвенция была ратифицирована только 19 декабря 2005 года Федеральным законом № 160-ФЗ.

Именно с этого момента можно говорить о начале развития законодательства о защите персональных данных в РФ. Несмотря на принятие Федерального закона № 152-ФЗ в 2006 году, данный закон в полную силу вступит с 1 июля 2011 года.

Перенос вступления в силу данного закона обусловлен целым рядом факторов.

Во-первых, проведение комплекса мероприятий по защите персональных данных требует существенных финансовых затрат. Причем в наиболее сложной ситуации оказываются бюджетные учреждения (образования, медицины и т. п.), которым средства бюджета на проведение необходимых мероприятий не выделены.

Во-вторых, действующее законодательство о персональных данных содержит множество «вопросов без ответа». Например, к числу вопросов, «на которые ответит время», можно отнести:

1. Какие сведения можно признать персональными данными?

Обратимся к определению, приведенному в статье 3 Федерального закона № 152-ФЗ. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

От четкого ответа на данный вопрос зависит объем сведений, подлежащих защите и соответственно комплекс проводимых мероприятий. Вряд ли у кого возникнут сомнения, что информация о работниках организации (фамилия, имя, отчество, паспортные данные, номер страхового свидетельства, ИНН, место жительства, сведения об образовании и т. п.) является сведениями персонального характера, и эти данные подлежат защите в соответствии с требованиями законодательства о персональных данных.

Множество вопросов вызывают данные о «контактных лицах» контрагентов. Причем набор таких данных, как правило, ограничен. Например, фамилия, имя, отчество, должность, служебный телефон. На основании определений, приведенного в законе, дать однозначный ответ на вопрос: «Являются ли такие данные персональными?» не представляется возможным.

Как поступать в такой ситуации? В качестве разрешения сложившейся ситуации может быть предложено максимально четкое определение в организационно-распорядительных документах организации перечня сведений, признаваемых персональными данным в положении о персональных данных, утвержденном в организации. Можно воспользоваться рекомендациями по выполнению законодательных требований при обработке персональных данных в организациях банковской системы, совместно подготовленными Банком России, Ассоциацией Российских банков и Ассоциацией «Россия». В приложении № 3 к данным рекомендациям приведен примерный перечень персональных данных. Стоит обратить внимание, что к персональным данным отнесены лишь «номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту)».

Номер служебного телефона к сведениям персонального характера не относится. В ряде случае в общении с контрагентами, возможно, будет достаточной информацией — имя, отчество и рабочий телефон. Такие данные к персональным относится уже не будут.

2. Когда необходимо получать согласие работника на обработку данных

Напомним, что получать согласие на обработку данных не требуется, если предоставление таких данных определено федеральным законом. Например, при трудоустройстве предоставление необходимых сведений регламентировано статьей 65 ТК РФ. При этом в рассматриваемой статье определено, что «запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных настоящим Кодексом, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ».

Такое требование как ИНН в этом перечне отсутствует, соответственно, получение сведений об ИНН, возможно только при наличии согласия субъекта персональных данных.

Таким образом, получить согласие на обработку данных в части ИНН и иных сведений, не определенных в ст. 65 ТК РФ, а также при передаче сведений в третьи организации (например, кредитные и страховые учреждения) необходимо.

3. Какие требования должны быть соблюдены и какие мероприятия проведены при присвоении информационной системе того или иного класса?

Напомним, что различают типовые и специальные информационные системы. К специальным относятся информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Практически любая информационная база, в которой обрабатываются персональные данные, требует защиты как минимум от изменения и несанкционированных действий.

Для определения класса специальной ИСПДн необходимо составлять модель угроз и документами ФСТЭК России предусмотрены классы специальных ИСПДн отличные от классов типовой ИСПДн. Вместе с тем приказом ФСТЭК России от 05.02.2010 № 58 определены требования в соответствии с классами, предусмотренными для типовых информационных систем персональных данных. Руководствуясь данным приказом, оператор ПДн имеет возможность определить требования, предъявляемые к типовым ИСПДн, но установить соответствие классов типовой и специальной систем зачастую может только специалист по информационной безопасности. Причем выводы о классе ИСПДн и комплексе необходимых мероприятий будут сделаны на основе знаний и опыта конкретного специалиста. А учитывая отсутствие нормативных правовых актов, выводы, сделанные разными специалистами могут отличаться, что также не упрощает планирование и проведение работ по защите персональных данных.

Помимо рассмотренных выше, также существует множество иных нерешенных вопросов. Например:

  1. Какие работы могут быть выполнены самостоятельно сотрудниками организации, а какие исключительно специалистами по информационной безопасности (экспертами)?
  2. Кто может быть признан экспертом?
  3. Как подтвердить соответствие ИСПДн требованиям закона?
  4. Какая обработка может быть признана автоматизированной обработкой данных (направлять или нет уведомление в Роскомнадзор?)
  5. Что понимать под состоянием здоровья (инвалидность; беременность)?

Несмотря на наличие спорных вопросов, мероприятия по защите персональных данных должны быть проведены в каждой организации. Ведь каждая без исключения организация является оператором персональных данных. Необходимо учитывать, что положения Федерального закона № 152-ФЗ вступали в силу поэтапно.

Начиная с 26 января 2007 года, обработка персональных данных, включенных в информационные системы персональных данных, должна была осуществляться в соответствии с нормами рассматриваемого закона. Например, получение и обработку персональных данных уже в 2007 году необходимо было осуществлять только при наличии согласий субъектов персональных данных. Также с 2007 года необходимо было задуматься и начать разработку организационно-распорядительной документации.

С 1 января 2008 года операторы, осуществляющие обработку персональных данных, обязаны направлять уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Соответственно, уже в 2008 году следовало провести категорирование персональных данных, классификацию информационной системы, направить уведомление в Роскомнадзор.

К 1 июля 2011 года информационные системы персональных данных должны быть приведены в полное соответствие с требованиями Федерального закона № 152-ФЗ. Т. е. к 1 июля 2011 года должны быть проведены все организационно-распорядительные мероприятия по защите персональных данных, а также решены все вопросы, связанные с технической защитой ИСПДн. Также в случае, если не представляется возможным провести полный комплекс технических мероприятий, то может быть рекомендована разработка плана необходимых мероприятий с указанием конкретных сроков исполнения.

Рекомендации по проведению комплекса необходимых мероприятий по защите ПДн

Для соблюдения минимальных требований и недопущения серьезных претензий со стороны регуляторов (в первую очередь Роскомнадзора) может быть рекомендовано проведение следующего комплекса мероприятий:

1. Создать комиссию по проведению комплекса мероприятий по защите ПДн. Учитывая, что проведение данных работ включает широкий круг вопросов, в состав комиссии целесообразно привлечь лиц, обладающих знаниями в сфере защиты информации, в области юриспруденции, работника кадровой службы, бухгалтера, системного администратора.

2. Начать работу по проведению комплекса мер по защите ПДн следует с проведения категорирования обрабатываемых персональных данных. Проще говоря, задачей данного этапа работы является выявление всех данных персонального характера, обрабатываемых в организации. Также на данном этапе необходимо оценить наличие согласий субъектов ПДн на обработку данных, проанализировать требуется ли для нужд организации хранение всех сведений персонального характера, а также определить перечень ответственных лиц.

3. Определить характеристики ИСПДн. На данном этапе необходимо определить конфигурации и топологии ИСПДн, физические, функциональные и технологические связи как внутри системы, так и с другими системами различного уровня и назначения, определить технические и программные средства, используемые в ИСПДн.

4. Определить перечень угроз в части соблюдения безопасности информации, их актуальность (рекомендуется с привлечением экспертов по информационной безопасности), разработать модель угроз и определить класс ИСПДн.

5. Подготовить и направить уведомление в Роскомнадзор с целью включения в реестр операторов.

6. Разработать порядок работы с ПДн. В случае необходимости разработать и провести комплекс дополнительных мероприятий по защите ПДн, в том числе по технической защите ПДн (приобрести и настроить необходимые технические средства и программное обеспечение). Разработанный порядок должен обеспечивать своевременное предоставление информации в случае получения запросов из Роскомнадзора (7 раб. дней) или непосредственно от физических лиц — субъектов ПДн (10 раб. дней).

7. Подготовить и утвердить комплект организационно-распорядительной документации.

В наличии должны быть:
— Приказ о назначении ответственного должностного лица/подразделения;
— Положение о защите ПДн;
— Приказы о допуске, перечень допущенных сотрудников;
— Журналы учета носителей информации.

8. Довести до сотрудников порядок работы со сведениями о персональных данных, в том числе обучение сотрудников.

9. Планирование и проведение контрольных мероприятий по защите ПДн.

В завершение статьи предлагаем воспользоваться схемой определения класса типовой ИСПДн.

Темы: защита персональных данных

Рубрика: Защита персональных данных

Поделиться с друзьями:

Подписаться на комментарии

Отправить на почту

Печать

Написать комментарий


Как компаниям уничтожать персональные данные с 1 марта 2023 года С 1 марта 2023 года изменятся требования к обработке персональных данных Власти расширили перечень оснований для внеплановых проверок бизнеса в 2023 году Нужно ли обязать работников сообщать о появлении признаков опасной болезни Власти пока не определили параметры оборотных штрафов за утечку персональных данных

Роскомнадзор предупреждает об изменениях в работе с персональными данными

Вчера, 09:25РазноеФото: https://unsplash. com/

С 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152 — ФЗ «О персональных данных». Операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, предусмотренных ч. 2. ст. 22 Федерального закона от 27 июля 2006 г. № 152 — ФЗ «О персональных данных», когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.

Формы уведомлений утверждены приказом Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, прекращении обработки персональных данных».

В связи с вступлением в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, операторам, уже состоящим в реестре, необходимо направить уведомление о внесении изменений в ранее представленные сведения в реестр операторов, осуществляющих обработку персональных данных, по актуальной утверждённой форме.

С 1 марта 2023 года вступил в силу новый порядок информирования Роскомнадзора о трансграничной передаче персональных данных. Роскомнадзор будет рассматривать уведомления операторов и по итогам рассмотрения ведомство будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны. До истечения 10 рабочих дней после подачи такого уведомления запрещено будет передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных.

Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей).

Электронная форма уведомления/информационного письма и порядок её заполнения размещены на портале персональных данных. Рекомендации по её заполнению и примеры размещены на сайте Управления в разделе «Направление деятельности» — «Защита прав субъектов персональных данных» — «Образец заполнения уведомления».

Обращаем внимание, что за непредставление или несвоевременное представление в государственный орган (должностному лицу), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом его законной деятельности, либо представление в государственный орган (должностному лицу), осуществляющий государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объёме или в искажённом виде предусмотрена административная ответственность в соответствии со ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.

По всем возникающим вопросам можно обратиться по адресу: 414004, г. Астрахань, ул. Студенческая, 3, тел.: 8 (8512) 44-20-54 (доб. 312).

Законы США о конфиденциальности данных вступят в новую эру в 2023 г. философия, лежащая в основе законов о конфиденциальности данных в Соединенных Штатах.

Исторически сложилось так, что законы о конфиденциальности данных здесь уходят корнями в «основанную на предотвращении вреда» мешанину защиты конфиденциальности, направленную на предотвращение или смягчение вреда в определенных секторах. Напротив, в соответствии с более широким подходом, основанным на правах, примером которого является Общий регламент ЕС по защите данных (GDPR), люди фактически владеют своей личной информацией и, таким образом, предположительно имеют законное право контролировать ее, а кто может ее использовать — это вопрос. чтобы они решили.

Вслед за Калифорнией четыре других штата — Колорадо, Коннектикут, Юта и Вирджиния — начнут применять новые законы, вдохновленные GDPR, в 2023 году. Обязательно последуют и другие штаты. Последствия этого фундаментального изменения основополагающих философских основ защиты конфиденциальности данных будут значительными в ближайшие годы и десятилетия. 2023 год ознаменует собой сдвиг.

Соединенные Штаты исторически разрешали предприятиям и учреждениям собирать личную информацию без явного согласия, при этом регулируя такое использование для предотвращения или уменьшения вреда в определенных секторах.

Например, эти секторы включают законы и нормативные акты, применимые к финансовому (например, Закон Грэма-Лича-Блайли (GLBA)) и медицинскому сектору (Закон о переносимости и подотчетности медицинского страхования (HIPAA)), образованию (права семьи на образование и неприкосновенность частной жизни). Закон (FERPA)), дети (Закон о защите конфиденциальности детей в Интернете (COPPA)) и другие сектора как на федеральном уровне, так и на уровне штатов.

Уставы, подобные этому, создают правила, применимые к определенным отраслям и типам учреждений. Эти правила защищают и предотвращают неправомерное использование определенных категорий личной информации. В соответствии с их основной философией, позволяющей собирать и использовать личную информацию, но предотвращать вред, эти правила налагают ограничения на отрасли и учреждения в отношении их обработки личной информации.

В отличие от этой философии, основанной на предотвращении вреда, страны Европейского союза (ЕС) уже давно придерживаются режима защиты личной информации, основанного на соблюдении прав человека. Исторически эта философия утверждает, что конфиденциальность данных является одним из основных прав человека. Люди фактически владеют своей личной информацией, и кто может ее использовать, это их дело.

Это отличающееся мировоззрение права на неприкосновенность частной жизни уходит корнями в исторический опыт страданий европейцев из-за печально известного сбора данных нацистами, которые собирали и систематизировали информацию о происхождении и принадлежности отдельных лиц (среди прочего) и использовали ее для совершения злодеяний. . Чудовищность этих преступлений против человечности сопровождалась аналогичным сбором данных секретной полицией бывшей коммунистической Восточной Германии. Эта трагическая история привела к понятной необходимости регулирования сбора, хранения и использования личной информации.

В 1970 году в немецкой земле Гессен был принят первый в мире закон о защите данных за десятилетия до того, как Интернет и Всемирная паутина стали повсеместными. В 1978 году в Германии был принят Федеральный закон о защите данных. А в 1983 году Федеральный конституционный суд Германии постановил, что каждый человек имеет конституционное право на «информационное самоопределение».

С таким историческим прошлым в Европе и Германией, выступающей в качестве лидера в разработке законов о конфиденциальности данных, к 2016 году ЕС осознал необходимость модернизированного подхода к конфиденциальности данных. Это признание возникло в свете достижений в области информационных технологий и ускорения использования персональных данных в глобально взаимосвязанном мире. Соответственно, ЕС принял Общий регламент по защите данных (GDPR). GDPR, вступивший в силу в 2018 году, кодифицировал несколько ключевых принципов, отражающих европейскую философскую основу защиты конфиденциальности данных, основанную на правах человека.

Понимание основных принципов, кодифицированных в GDPR, полезно для понимания того, что происходит с новыми законами о конфиденциальности данных, которые должны вступить в силу в ближайшие недели и месяцы 2023 года. Новые законы вступят в силу в 2023 году в Калифорнии, Колорадо, Коннектикут, Юта и Вирджиния (а также другие штаты, которые, вероятно, последуют их примеру в ближайшие годы) отражают влияние основанной на правах человека философской основы GDPR. Эти новые законы представляют собой комплексный подход к защите конфиденциальности, применимый к предприятиям во многих секторах, в дополнение к законам для конкретных секторов, которые остаются в силе.

Общего регламента по защите данных подразделяется на «контролеров данных» и «обработчиков данных». Контроллеры данных, как следует из названия, — это предприятия и организации, которые контролируют сбор и использование данных — контроллеры данных решают, что делать с данными. Обработчики данных выполняют инструкции, предоставленные контроллерами данных. Обязательства, которые применяются к контроллерам данных, и их ответственность отличаются от тех, которые применяются к обработчикам данных. Новые законы штатов о конфиденциальности данных содержат это различие и подход.

GDPR устанавливает несколько прав физических лиц в отношении их личной информации. Конкретные применимые права зависят от типа данных, особенно данных, считающихся очень конфиденциальными. Детали в законах США различаются, но в основном права аналогичны правам, изначально установленным в GDPR.

Эти права включают следующее:

•Доступ — физические лица имеют право запрашивать доступ для проверки своей личной информации.

• Исправление — физические лица имеют право требовать исправления ошибок в их личной информации.

• Переносимость — физические лица имеют право потребовать, чтобы их личная информация была передана другому лицу.

•Удаление — физические лица имеют право потребовать удаления их личной информации.

•Согласие — физические лица имеют право решать, может ли их личная информация быть продана или может быть использована для целей получения целевой рекламы.

• Апелляция — физические лица имеют право обжаловать отказ компании в удовлетворении их запроса.

В дополнение к предоставлению этих прав для отдельных лиц (называемых «субъектами данных» на языке GDPR), GDPR излагает определенные руководящие принципы. Эти принципы включают следующее:

• Конфиденциальность или защита данных по дизайну — система управления данными должна быть разработана с учетом защиты конфиденциальности (включая сопоставление данных, чтобы вы знали, какие данные где хранятся, а средства защиты соответствовали уровню чувствительности данных).

• Ведение учета — необходимо вести соответствующие записи в отношении сбора, обработки и использования данных.

•Минимизация данных — личная информация, особенно конфиденциальная, должна храниться, если вообще хранится, только до тех пор, пока она служит своим целям. Если данные не хранятся, хакеры не могут их украсть.

•Прозрачность, информированное согласие и законное использование — личная информация должна использоваться с информированного согласия субъектов данных, понятным для них образом и только в законных целях, разрешенных законом.

• Специалисты по защите данных и оценки защиты данных — обученный персонал должен следить за соблюдением требований защиты конфиденциальности, а защита данных должна оцениваться с использованием соответствующих принципов управления рисками.

• Передовые методы кибербезопасности — данные должны быть защищены с использованием передовых методов кибербезопасности, чтобы свести к минимуму риски утечки данных, включая соответствующие физические и технологические средства защиты.

• Уведомления об утечке данных — в случае утечки данных должен иметься проверенный план реагирования на инциденты, чтобы гарантировать своевременную доставку соответствующих уведомлений в различные сроки, предусмотренные законодательством.

• Обучение сотрудников — сотрудники должны быть обучены методам защиты конфиденциальности в соответствии с хорошо разработанными политиками, а доступ сотрудников к конфиденциальной личной информации должен быть ограничен для снижения рисков.

• Требование надлежащей договорной формулировки — положения контракта, касающиеся защиты данных и конфиденциальности, должны использоваться для обеспечения того, чтобы поставщики и подрядчики также принимали меры против неправомерного использования и утечки личной информации.

Приведенные выше списки прав и правовых принципов не являются исчерпывающими; 99 статей GDPR содержат гораздо больше. Но знакомство с ними помогает изучить быстро меняющиеся законы о конфиденциальности данных в США и предвидеть появление новых.

Вот список новых законов штата о конфиденциальности данных, которые должны быть опубликованы в 2023 году:

(1) Большинство положений Калифорнийского закона о правах на неприкосновенность частной жизни (CPRA) вступают в силу 1 января 2023 года. Закон Калифорнии о конфиденциальности потребителей (CCPA), который уже создал ряд индивидуальных прав по образцу GDPR. CPRA создало новое государственное агентство, аналогичное агентствам по защите данных в странах ЕС, которым поручено обеспечивать соблюдение GDPR.

(2) Закон штата Колорадо о конфиденциальности (CPA) вступает в силу 1 июля 2023 г. В дополнение к созданию прав по образцу индивидуальных прав в соответствии с GDPR, CPA требует обеспечения безопасности данных и положений контракта для поставщиков, а также оценки «высокого риска». обработка.

(3) Закон штата Коннектикут о конфиденциальности данных (CDPA), как и новый закон штата Колорадо о конфиденциальности, вступает в силу 1 июля 2023 г. CDPA также создает набор индивидуальных прав, подобных GDPR, и требует минимизации данных, безопасности и оценки. для обработки «высокого риска».

(4) Закон штата Юта о конфиденциальности потребителей (UCPA) вступает в силу 31 декабря 2023 г. Он предусматривает определенные индивидуальные права, аналогичные GDPR, а также требует обеспечения безопасности данных и положений контракта. Но UCPA не включает в себя явно требуемые оценки рисков.

(5) Закон штата Вирджиния о конфиденциальности данных потребителей (VCDPA) вступает в силу 1 января 2023 г. Он предусматривает определенные права личности, подобные GDPR. Но в 2022 году «право на удаление» было заменено правом отказа от определенной обработки.

Несмотря на то, что эти новые законодательные акты штатов должны быть всеобъемлющими, они содержат определенные исключения для данных, уже защищенных другими законами, такими как HIPAA. Уставы различаются в зависимости от их охвата, в зависимости от предприятий, которые достигают определенных пороговых значений дохода, или в зависимости от количества жителей, потребителей, домохозяйств или устройств с данными в соответствующем состоянии. Каждый закон уникален и должен быть тщательно проанализирован в отношении его сферы действия, требований, потенциальных обязательств и санкций, а также средств его обеспечения.

Однако понимание того, к чему ведут эти новые законы и откуда они берутся, создаст основу для анализа и понимания их требований, а также требований новых законов, которые еще только появятся. Законы о конфиденциальности данных в этой стране (и во всем мире) будут меняться в 2023 году, и оглядываться назад уже некуда.

Фредрик Д. Беллами — постоянный обозреватель Reuters и Westlaw Today, посвященный законам о конфиденциальности данных и судебным разбирательствам.

Высказанные мнения принадлежат автору. Они не отражают точку зрения агентства Reuters News, которое в соответствии с Принципами доверия придерживается принципов честности, независимости и свободы от предвзятости. Westlaw Today принадлежит Thomson Reuters и работает независимо от Reuters News.

Что вам следует знать о Законе Колорадо о конфиденциальности: Koley Jessen

Губернатор Колорадо Джаред Полис 8 июля 2021 г. подписал Закон Колорадо о конфиденциальности («CPA»), в результате чего Колорадо стал третьим штатом (после Калифорнии и Вирджинии), принять всеобъемлющий закон о конфиденциальности для защиты своих жителей. CPA вступит в силу 1 июля 2023 года9.0009

CPA будет применяться к юридическим лицам, ведущим бизнес в Колорадо или предоставляющим продукты или услуги, ориентированные на жителей Колорадо, которые либо (1) контролируют или обрабатывают персональные данные 100 000 или более потребителей в течение года, либо (2) контролируют или обрабатывают персональные данные 25 000 или более потребителей и получать доход или скидку на цену товаров или услуг от продажи персональных данных. Применимого порога дохода нет. «Потребители» определяются в CPA как жители Колорадо, действующие в индивидуальном или домашнем контексте. CPA исключает лиц, действующих в коммерческом контексте или в контексте занятости, претендентов на работу и бенефициаров кого-либо, действующего в контексте занятости, из своего определения «потребитель». «Персональные данные» в соответствии с CPA определяются как «информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом». Требования CPA не распространяются на обезличенные данные или общедоступную информацию.

Чтобы соответствовать CPA, предприятия должны предоставить потребителям четкие уведомления о конфиденциальности и провести оценку защиты данных для любой обработки персональных данных, которая представляет повышенный риск причинения вреда потребителям. CPA не предлагает особых указаний относительно того, что может или не может квалифицироваться как «повышенный риск причинения вреда», но генеральный прокурор Колорадо может обнародовать уточняющие правила до того, как CPA вступит в силу.

Права, предоставляемые потребителям в соответствии с CPA, включают право отказаться от обработки персональных данных для целевой рекламы или для продажи таких персональных данных. CPA предусматривает «выбираемый пользователем универсальный механизм отказа», который подпадающие под его действие юридические лица могут внедрить после вступления CPA в силу; однако с 1 июля 2024 г. универсальный механизм отказа станет обязательным. У CPA нет четких указаний относительно ожиданий от механизма отказа, но генеральный прокурор Колорадо обнародует правила с подробным описанием необходимых технических спецификаций к 1 июля 2023 года. Удобный для пользователя механизм должен позволять потребителям свободно и недвусмысленно выбирать отказ. обработки персональных данных. Простой настройки по умолчанию будет недостаточно.

В дополнение к праву отказа, потребителям будет предоставлено право доступа к определенным личным данным — и получить их в переносимом, удобном для использования формате — и право исправлять неточности и удалять касающиеся их личные данные. Как только потребитель отправляет запрос на доступ, исправление, удаление или предоставление персональных данных, принимающая организация должна ответить на запрос потребителя в течение 45 дней с момента его получения. Потребители будут иметь право обжаловать решение организации.

Колорадо стал вторым штатом в 2021 году, принявшим всеобъемлющее законодательство о конфиденциальности данных, после того как ранее в этом году Вирджиния приняла Закон о защите данных потребителей (CDPA). Калифорния также недавно приняла новый закон о конфиденциальности данных путем голосования — Закон штата Калифорния о правах на конфиденциальность («CPRA»), который расширит объем защиты, предоставляемой в настоящее время жителям Калифорнии Законом Калифорнии о конфиденциальности потребителей от 2018 года.

Во многих отношениях , CPA похож на CDPA Вирджинии, но между всеми тремя законами о конфиденциальности есть различия, о которых должен знать каждый, кто ведет бизнес во всех трех штатах.

Время
  • Законы Калифорнии и Вирджинии вступят в силу 1 января 2023 года.
  • CPA вступит в силу 1 июля 2023 года.

Правоприменение
  • Как и Закон Вирджинии, CPA не предусматривает права частного иска. Генеральный прокурор и окружные прокуроры будут иметь исключительные полномочия по обеспечению соблюдения CPA.
  • Закона Калифорнии, однако, делает предоставляет частное право действия, и CPRA создает новое государственное агентство, Калифорнийское агентство по защите конфиденциальности, для обеспечения соблюдения Закона.

Сфера применения
  • Все три Закона будут применяться к компаниям, которые контролируют или обрабатывают персональные данные 100 000 или более потребителей в год.
  • CPA также распространяется на предприятия, которые контролируют или обрабатывают личные данные 25 000 или более потребителей и получают доход или скидку на цену товаров или услуг от продажи личных данных . В отличие от этого, Закон Вирджинии будет применяться к предприятиям, которые контролируют или обрабатывают персональные данные 25 000 или более жителей и получают более 50 процентов своего валового дохода от продажи персональных данных .
    • Закон штата Калифорния
  • также будет применяться к предприятиям, чей годовой валовой доход превышает 25 миллионов долларов США или которые получают 50 или более процентов своего годового дохода от продажи или обмена личной информацией потребителей.
  • * Обратите внимание, что все три закона предусматривают исключения для определенных предприятий, которые уже регулируются другими федеральными законами.

Права потребителей
  • Все три закона обеспечивают схожие права потребителей, включая особую защиту «конфиденциальной» личной информации, такой как раса, религия, сексуальная ориентация и т. д. Законы Вирджинии и Колорадо требуют, чтобы подпадающие под действие законов получали согласие потребителя перед обработкой конфиденциальная личная информация. Это положение о согласии не включено в закон штата Калифорния.
  • Обязательный «выбираемый пользователем универсальный механизм отказа» CPA не требуется ни в Законе Калифорнии, ни в Законе Вирджинии.

Соответствие требованиям
  • Компании, на которые распространяются новые законы о конфиденциальности данных, должны:
    • Внедрение мер кибербезопасности;
    • Создать и сообщить потребителям процесс, с помощью которого потребители могут подать запрос относительно своих личных данных и впоследствии обжаловать решение;
    • Обеспечить четкое и заметное уведомление, информирующее потребителей о том, что они имеют право отказаться от целевой рекламы и продажи своих личных данных;
    • Создать выбранный пользователем универсальный механизм отказа к 1 июля 2024 г.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *