Ст 19 федерального закона о персональных данных: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Содержание

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

 

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения

требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

(в ред. Федерального закона от 30.12.2020 N 515-ФЗ)

(см. текст в предыдущей редакции)

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.4.
Состав и содержание
необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке ФЕДЕРАЛЬНЫЙ ЗАКОН от 27-07-2006 152-ФЗ О ПЕРСОНАЛЬНЫХ ДАННЫХ

не действует Редакция от 27.07.2006 Подробная информация
Наименование документФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
Вид документазакон
Принявший органпрезидент рф, гд рф, сф рф
Номер документа152-ФЗ
Дата принятия26.01.2007
Дата редакции27.07.2006
Дата регистрации в Минюсте01.01.1970
Статусне действует
Публикация
  • Документ в электронном виде ФАПСИ, НТЦ "Система"
  • "Российская газета", N 165, 29.07.2006
  • "Собрание законодательства РФ", 31.07.2006, N 31 (1 ч.), ст. 3451
  • "Парламентская газета", N 126-127, 03.08.2006
НавигаторПримечания

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Услуги

Оценка защищённости

При создании любой информационной системы неизбежно возникает вопрос о её защищенности от угроз безопасности, с помощью этой услуги Вы узнаете о слабых местах и брешах в защите Вашей информационной системы. Множество компаний и обычных пользователей  ИС ежедневно страдают от воздействия киберпреступников: их системы подвергаются всевозможным атакам, последствиями которых могут быть как раскрытие конфиденциальной информации, так и её утрата. Обычно к таким последствиям приводит неосведомлённость сотрудников компаний и пользователей о возможных угрозах их системе. Данная услуга поможет Вам выявить бреши в защите вашей системы и соответствия ее требованиям действующего законодательства Российской федерации.

Комплексное обеспечение ИБ

Целостность, доступность и конфиденциальность - три основных требования к информации, именно на их выполнение направлены системы обеспечения информационной безопасности (СОИБ). Система обеспечения информационной безопасности (СОИБ) – комплекс организационных и технических мер (средств защиты информации, средств контроля эффективности защиты информации, средств и систем управления ИБ), функционирующих по определенным правилам.

Защита персональных данных

В Российской Федерации основным документом, регулирующим работу с персональными данными, является Федеральный закон №152-ФЗ «О персональных данных», принятый 27 июля 2006 г. В соответствии со ст. 19 данного закона – оператор (физическое или юридическое лицо) при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Невыполнение требований Федерального закона №152-ФЗ «О персональных данных» может повлечь за собой негативные последствия, начиная от гражданских исков к Организации, заканчивая приостановлением действий или аннулированием лицензий позволяющих организации производить работы по обработке персональных данных. В соответствии с действующим законодательством Российской Федерации в области защиты персональных данных – для выполнения работ по обеспечению безопасности персональных данных обрабатываемых с использованием и без использования средств автоматизации, могут привлекаться на договорной основе Организации имеющие лицензию на деятельность по технической защите конфиденциальной информации.

Аттестация объектов информатизации

Аттестация объектов информатизации-комплекс организационно-технических мероприятий, в результате которых посредством специального документа «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК (Гостехкомиссией) России. Аттестация необходима для подтверждения соответствия объекта информатизации требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и утечки информации по техническим каналам.

Проектирование систем защиты информации

Проектирование системы защиты информации является важным этапом обеспечения безопасности информации, т.к. позволяет комплексно оценить текущую ситуацию в организации и грамотно подойти к выбору мер и средств защиты информации. Оно производится на основе данных, полученных во время проведения пред проектного обследования или аудита информационной безопасности.

Проектирование системы защиты информации состоит из нескольких этапов:

  1. Обследование информационных систем, обрабатывающих защищаемую информацию (разработка Акта обследования информационных систем или заполнение Формы сбора информации).
  2. Анализ угроз и уязвимостей безопасности информации (разработка Модели угроз и модели нарушителя безопасности информации).
  3. Определение требований законодательства к защите информации.
  4. Формирование требований к системе защиты информации (разработка Технического задания).
  5. Определение мер и средств защиты информации (разработка Технического проекта).
  6. Подбор и расчет стоимости средств защиты информации.


Документация по защите персональных данных

Добрый день, коллеги! Мне часто задают вопрос - какие документы нужно сделать для того, чтобы защитить персональные данные в организации. 

Начнем с Федерального закона "О персональных данных", какие документы следуют из его положений?

• Порядок восстановления ПДн (пп. 7 п. 2 ст. 19 152-ФЗ). Такой документ часто требуют при проверке, но многие забывают его сделать. Это может быть часть положения о защите персональных данных;

• Журнал учета действий (пп. 8 п. 2 ст. 19 152-ФЗ). Проще всего - электронный, если нужно - распечатаете;

• Заключение об оценке вреда субъекту (пп. 5 п. 1 ст. 18.1 152-ФЗ). Здесь правил нет, делаете как считаете нужным;

• Заключение об оценке эффективности принимаемых мер (пп. 4 п. 2 ст. 19 152-ФЗ). Нужно оценить те меры, которые приняты для защиты персональных данных: закрывают ли они актуальные угрозы;

Модель доступа к ПДн (пп. 8 п. 2 ст. 19 152-ФЗ). Полезная вещь, особенно если есть разные уровни доступа;

Модель угроз (пп. 1 п. 2 ст. 19 152-ФЗ). Если вы слушали наш совместный вебинар с Сергеем Борисовым, то знаете, что вопрос о необходимости модели угроз - спорный.;

Политика обработки персональных данных (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;

Положение об обработке ПДн (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;

Поручение на обработку персональных данных (п. 3, ст. 6 152-ФЗ). Понадобится, если решите передать персональные данные на обработку третьему лицу;

• Порядок контроля за принимаемыми мерами безопасности (пп. 9 п. 2 ст. 19 152-ФЗ). Может быть частью положения о ПДн;

• Порядок ознакомления с нормативной документацией (пп. 6 п. 1 ст. 18.1 152-ФЗ). Сделайте такой порядок и постоянно проводить ознакомление персонала, основной ошибкой является отсутствие листов ознакомления или отсутствие подписей в них;

• Порядок применения правовых, организационных и технических мер по обеспечению безопасности ПДн (пп. 3 п. 1 ст. 18.1 152-ФЗ). Может быть частью положения;

• Порядок реагирования на инциденты (пп. 6 п. 2 ст. 19 152-ФЗ). Может быть частью положения;

• Порядок учета машинных носителей (пп. 5 п. 2 ст. 19 152-ФЗ). Лучше сделать, например, чтобы была возможность реагировать на вынос домой рабочих флешек с базами клиентов;

• Приказ о назначении лица, ответственного за организацию обработки (пп. 1 п. 1 ст. 18.1 152-ФЗ). Нужно сделать;

Уведомление об обработке персональных данных (ст. 22 152-ФЗ). Скорее всего придется сделать;

• Форма согласия на обработку персональных данных (ст. 9 152-ФЗ). Сделайте разные на все случаи обработки.

Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями). Будьте внимательны, оно изменялось. 

Какие документы нужно сделать?

правила обработки персональных данных. Может быть частью положения;

• правила рассмотрения запросов субъектов персональных данных. Также часть положения;

• правила осуществления внутреннего контроля. Часть положения;

• правила работы с обезличенными данными. Не знаю, стоит ли выделять в отдельный документ;

перечень информационных систем персональных данных. Стоит сделать;

перечни персональных данных. Полезный документ, высветит интересные бизнес-процессы;

• перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Очень важный документ;

• перечень должностей лиц, замещение которых предусматривает осуществление обработки персональных данных. Стоит сделать;

• должностной регламент ответственного за организацию обработки персональных данных. Сделайте обязательно, чтобы не было путаницы, кто за что отвечает;

• типовое обязательство о неразглашении. Сделайте обязательно;

• типовая форма согласия на обработку персональных данных. Сделайте обязательно;

порядок доступа в помещения, в которых ведется обработка персональных данных. Сделайте.

Продолжение следует...

Политика конфиденциальности

Персональные данные

1. ОБЩИЕ ПОЛОЖЕНИЯ

Положение об обработке персональных данных (далее — "Положение", “Настоящее Положение”) издано и применяется ООО “ОСКО-ХАУС” (далее — "Оператор”) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Настоящее Положение является официальным документом Общества с ограниченной ответственностью «ОСКО-ХАУС» (ОГРН 1057811934652), расположенного по адресу: 197229, г. Санкт-Петербург, Лахтинский пр., 113, и определяет порядок обработки и защиты (реализуемые требования к защите) персональных данных физических лиц, пользующихся услугами Сервиса OSKO Village, находящегося по сетевому адресу: https://osko-village.ru (далее – «Сайт», «Сервис») и его сервисов (далее – Пользователи).

Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

Целью настоящего Положения является обеспечение надлежащей защиты информации о пользователях, в том числе их персональных данных, от несанкционированного доступа и разглашения.

Отношения, связанные со сбором, хранением, распространением и защитой информации о пользователях Сервиса, регулируются настоящим Положением, иными официальными документами Оператора и действующим законодательством Российской Федерации.

Действующая редакция настоящего Положения, являющегося публичным документом, опубликована и доступна любому пользователю сети Интернет в форме неограниченного доступа при переходе по ссылке: osko-village.ru/politika-konfidencialnosti/.

Оператор вправе вносить изменения в настоящее Положение. При внесении изменений в Положение Оператор уведомляет об этом пользователей путем размещения (публикации) новой редакции Положения на Сайте по постоянному адресу osko-village.ru/politika-konfidencialnosti/ не позднее, чем за 10 дней до вступления в силу соответствующих изменений. Предыдущие редакции Положения хранятся в архиве документации Оператора.

Настоящее Положение разработано и используется в соответствии с Правилами пользования сервисом OSKO Village, размещенными на Сайте по адресу osko-village.ru/contacts/polzovatelskoe-soglashenie/. В случае наличия противоречий между настоящим Положением и иными официальными документами Оператора применению подлежит настоящее Положение.

Регистрируясь и используя Сервис, Пользователь выражает свое безусловное согласие с условиями настоящего Положения.

В случае несогласия Пользователя с условиями настоящего Положения использование Сайта и его сервисов должно быть немедленно прекращено.

Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.

Оператор осуществляет обработку информации о Пользователях, в том числе их персональных данных, в целях выполнения обязательств Оператора перед Пользователями в отношении использования Сайта и его сервисов.

Оператор осуществляет обработку персональных данных Пользователей в целях исполнения договора между Оператором и Пользователем на оказание Услуг Сайта (п. 2.2 Правил пользования сервисом OSKO Village osko-village.ru/contacts/polzovatelskoe-soglashenie/). В силу п.п. 2 п. 2 статьи 22 указанного закона Оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка организована Оператором на принципах:

- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- обработки только персональных данных, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

4. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Персональные данные Пользователей включают в себя:

предоставляемые Пользователями и минимально необходимые для регистрации на Сайте: имя, номер мобильного телефона, род деятельности применительно к использованию Сайта и адрес электронной почты;

дополнительно предоставляемые Пользователями по запросу Оператора в целях исполнения Оператором обязательств перед Пользователями, вытекающих из договора на оказание Услуг Сайта. Оператор вправе, в частности, запросить у Пользователя копию документа, удостоверяющего личность, либо иного документа, содержащего имя, фамилию, фотографию Пользователя, а также иную дополнительную информацию, которая, по усмотрению Оператора, будет являться необходимой и достаточной для идентификации такого Пользователя и позволит исключить злоупотребления и нарушения прав третьих лиц.

4.2. Иная информация о Пользователях, обрабатываемая Оператором.

Оператор может также обрабатывать иную информацию о Пользователях, которая включает в себя:

4.2.1. дополнительные данные, получаемые при доступе к Сайту, включающие в себя данные о технических средствах (устройствах), технологическом взаимодействии с Сайтом (в т.ч. IP-адрес хоста, вид операционной системы пользователя, тип браузера, географическое положение, поставщик услуг Интернета) и последующих действиях Пользователя на Сайте.

4.2.2. информация, полученная в результате действий Пользователя на Сайте.

5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Пользователей осуществляется Оператором на основе принципов обработки персональных данных, установленных разделом 3 настоящего Положения.

5.2. Оператор осуществляет обработку персональных данных Пользователей в целях исполнения договора между Оператором и Пользователем на оказание Услуг Сайта (п. 2.2 Правил пользования сервисом OSKO Village osko-village.ru/contacts/polzovatelskoe-soglashenie/). В силу п.п. 2 п. 2 статьи 22 указанного закона Оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

5.3. Условия обработки персональный данных Оператором.

5.3.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных (Пользователя) на обработку его персональных данных, выдаваемого Пользователем Оператору на условиях настоящего положения. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку Оператору свободно, своей волей и в своем интересе путем совершения Пользователем следующих конклюдентных действий: проставление символа в специальном поле под заголовком «Я согласен на обработку своих персональных данных» в каждой регистрационной форме, расположенной в Сети «Интернет» по сетевому адресу: //osko-village.ru/, в том числе, но не ограничиваясь: по факту регистрации на Сайте в регистрационной форме по сетевому адресу: //osko-village.ru/contacts/. Совершение Пользователем названных конклюдентных действий свидетельствует о том, что согласие Пользователя на обработку его персональных данных является конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (Пользователем) в любое время путем направления Пользователем соответствующего извещения в адрес Оператора на адрес электронной почты: [email protected]

5.3.2. Сбор персональных данных.

Сбор персональных данных Пользователя осуществляется на Сайте при регистрации, а также в дальнейшем при внесении пользователем по своей инициативе дополнительных сведений о себе с помощью инструментария Сайта. Персональные данные, предусмотренные п. 4.1.1. настоящего Положения, предоставляются Пользователем и являются минимально необходимыми при регистрации. Персональные данные, предусмотренные п. 4.1.2. настоящего Приложения, являются дополнительно предоставляемыми Пользователями сведениями по запросу Оператора в целях исполнения Оператором обязательств перед Пользователями, вытекающих из договора на оказание Услуг Сайта.

5.3.3. Хранение и использование персональных данных.

Персональные данные пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Пользователей с использованием баз данных, находящихся на территории Российской Федерации.

5.3.4. Передача персональных данных.

Персональные данные Пользователей не передаются каким-либо третьим лицам, за исключением случаев, прямо предусмотренных настоящим Положением.

При указании пользователя или при наличии согласия пользователя возможна передача персональных данных пользователя третьим лицам-контрагентам Оператора с условием принятия такими контрагентами обязательств по обеспечению конфиденциальности полученной информации. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Предоставление персональных данных Пользователей по запросу государственных органов (органов местного самоуправления) осуществляется в порядке, предусмотренном действующим законодательством РФ.

В целях исполнения соглашения между Пользователем и Оператором и предоставления Пользователю доступа к использованию функционала Сервиса, Оператор развивает предоставляемые сервисы и продукты, разрабатывает и внедряет новые сервисы и продукты, оптимизирует качество сервисов и продуктов, совершенствует доступный функционал Сайта и сервисов. Для обеспечения реализации указанных целей Пользователь соглашается на осуществление Оператором с соблюдением применимого законодательства сбора, хранения, накопления, систематизации, извлечения, сопоставления, использования, наполнения (уточнения) их данных, а также на получение и передачу аффилированным лицам и партнерам результатов автоматизированной обработки таких данных с применением различных моделей оценки информации, в виде целочисленных и/или текстовых значений и идентификаторов, соответствующих заданным в запросах оценочным критериям, для обработки данных Оператором и/или лицами, указанными в настоящем пункте.

Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном настоящим Положением порядке.

При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

6. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ/СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ

6.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

6.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

6.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. Отсканированная копия доверенности представителя, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, - не менее срока хранения персональных данных.

6.4. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Оператор принимает технические и организационно-правовые меры в целях обеспечения защиты персональных данных Пользователя от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Для авторизации доступа к Сервису используется логин (адрес электронной почты) и пароль Пользователя. Ответственность за сохранность данной информации несет Пользователь. Пользователь не вправе передавать собственный логин и пароль третьим лицам, а также обязан предпринимать меры по обеспечению их конфиденциальности.

6.5. В целях обеспечения более надежной защиты персональных данных Пользователей, Оператор обеспечивает возможность использования Пользователями системы двухфакторной авторизации посредством мобильного приложения Google Authenticator, а также системы дополнительного списка паролей, подлежащие реализации Пользователями путем совершения следующих действий: подключение соответствующего способа защиты через инструменты управления учётной записью в личном кабинете Пользователя на Сайте.

7. ПРАВА ПОЛЬЗОВАТЕЛЯ (СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ)

7.1. На основании запроса, Пользователь имеет право в доступной форме получать от Оператора весь объем информации/сведений по существу обработки его персональных данных Оператором, как то:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные действующим законодательством РФ в области персональных данных.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

7.2. Пользователь Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7.3. Пользователь имеет неограниченный доступ и право редактирования своих персональных данных в любое время через веб-интерфейс, предоставляемый Сервисом.

7.4. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8. ОБРАЩЕНИЯ ПОЛЬЗОВАТЕЛЕЙ

8.1. Пользователи вправе направлять Оператору свои запросы, в том числе запросы относительно использования их персональных данных, предусмотренные п. 7.1. настоящего Положения, в письменной форме по адресу: РФ, 197229, г. Санкт-Петербург, Лахтинский пр., 113 или в форме электронного документа, подписанного квалифицированной электронной подписью в соответствии с законодательством Российской Федерации, по адресу электронной почты: [email protected]

8.2. Запрос, направляемый Пользователем, должен содержать следующую информацию:

имя

фамилию

адрес электронной почты

подпись пользователя или его представителя.

8.3. Оператор обязуется рассмотреть и направить ответ на поступивший запрос пользователя в течение 30 дней с момента поступления обращения.

8.4. Вся корреспонденция, полученная Оператором от Пользователей (обращения в письменной или электронной форме), относится к информации ограниченного доступа и не разглашается без письменного согласия Пользователя. Персональные данные и иная информация о Пользователе, направившем запрос, не могут быть без специального согласия Пользователя использованы иначе, как для ответа по теме полученного запроса или в случаях, прямо предусмотренных законодательством.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Сайт может содержать ссылки на другие интернет-ресурсы, которые действуют независимо от Оператора и не выступают от имени или по поручению Оператора. Пользователи обязаны самостоятельно ознакомиться с правилами оказания услуг и политикой защиты персональных данных таких третьих лиц до начала использования соответствующих сайтов (интернет-ресурсов). Действие настоящего Положения не распространяется на действия и интернет-ресурсы третьих лиц.

9.2. Оператор обеспечивает неограниченный доступ к настоящему Положению, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных путем публикации настоящих Правил в информационно-телекоммуникационной сети по сетевому адресу: //osko-village.ru/privacy.

9.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

* Если у Вас есть вопросы или предложения относительно Политики конфиденциальности, пожалуйста, напишите нам на: [email protected] .

Положение об обработке персональных данных

  1. ОБЩИЕ ПОЛОЖЕНИЯ
    1. Настоящее Положение об обработке персональных данных (далее – Положение, настоящее Положение) разработано ИП Тимофеев А.В. (далее также – Оператор) и применяется в соответствии с п. 2 ч. 1 ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
      Настоящее Положение определяет политику Оператора в отношении обработки персональных данных.
      Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
      Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
    2. В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под персональными данными клиентов, физических лиц понимается любая информация, относящаяся к прямо или косвенно определённому или определяемому на основании такой информации клиенту, физическому лицу (далее – персональные данные).
    3. ИП Тимофеев А.В. является оператором, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных.
    4. Целью обработки персональных данных является:
      • обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
      • оказание Оператором физическим и юридическим лицам услуг, связанных с хозяйственной деятельностью Оператора, включая контакты Оператора с такими лицами, в том числе по электронной почте, по телефону, по адресу, предоставленным соответствующим лицом;
      • направление консультаций, ответов обратившимся лицам с помощью средств связи и указанных ими контрактных данных;
      • продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (допускается только при условии предварительного согласия субъекта персональных данных).
    5. Обработка организована Оператором на принципах:
      • законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
      • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
      • обработки только персональных данных, которые отвечают целям их обработки;
      • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
      • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
      • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
      • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
    6. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящим Положением.
    7. Персональные данные обрабатываются с использованием и без использования средств автоматизации.
    8. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных.
      1. Ответственный за организацию обработки персональных данных получает указания непосредственно от исполнительного органа Оператора и подотчетен ему.
      2. Ответственный за организацию обработки персональных данных вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    9. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.
    10. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
    11. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
    12. Условия обработки персональных данных Оператором. Обработка персональных данных допускается в следующих случаях:
      • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
      • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
      • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
      • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
      • обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
      • обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
      • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
      • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
    13. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
    14. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
    15. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
  2. ОБЕСПЕЧЕНИЕ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.
    2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту расположения Оператора в рабочее время Оператора.
    4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
    5. В случае представления интересов субъекта персональных данных представителем полномочия представителя подтверждаются доверенностью, оформленной в установленном порядке.
    6. В случаях предоставления субъектом персональных данных письменного согласия на использование персональных данных для такого согласия достаточно простой письменной формы.
    7. Оператор гарантирует безопасность и конфиденциальность используемых персональных данных.
    8. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных.
  3. ПОЛУЧЕНИЯ, ОБРАБОТКА, ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. У Оператора устанавливается следующий порядок получения персональных данных:
      1. При обращении за получением услуг Оператора клиент указывает установленные соответствующими формами данные.
      2. Оператор не получает и не обрабатывает персональные данные клиента о его расовой принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни, если законом не предусмотрено иное.
      3. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Организация вправе получать и обрабатывать данные о частной жизни клиента только с его письменного согласия.
    2. В случае принятия клиентом оферты, размещённой на сайте Оператора, либо заключения другого договора с Оператором обработка персональных данных клиента осуществляется для исполнения соответствующего договора, вступившего в силу вследствие принятия условий оферты клиентом либо заключения другого договора соответственно.
    3. Также Оператор вправе обрабатывать персональные данные клиентов, обратившихся к Оператору физических лиц только с их согласия на использование персональных данных.
    4. Согласие клиента на обработку персональных данных не требуется в следующих случаях:
      • персональные данные являются общедоступными;
      • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Организации;
      • по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом;
      • обработка персональных данных в целях исполнения договора, заключённого с Оператором;
      • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
      • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов клиента, если получение его согласия невозможно.
    5. Оператор обеспечивает безопасное хранение персональных данных, в том числе:
      1. Хранение, комплектование, учет и использование содержащих персональные данные документов организуется в форме обособленного архива Оператора.
      2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Персональные данные передаются с соблюдением следующих требований:
      • запрещается сообщать персональные данные третьей стороне без письменного согласия клиента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью клиента, а также в других случаях, предусмотренных законами;
      • не сообщать персональные данные в коммерческих целях без письменного согласия субъекта таких данных;
      • предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
      • разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
      • не запрашивать информацию о состоянии здоровья клиента, за исключением тех сведений, которые относятся к вопросу о возможности выполнения клиентом обязательств по договору с Оператором;
      • передавать персональные данные клиента его представителям в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
  5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
    1. Право доступа к персональным данным имеют:
      • руководитель Оператора;
      • работающие с определённым клиентом работники Оператора;
      • работники бухгалтерии;
      • работники, осуществляющие техническое обеспечение деятельности Оператора.
    2. Клиенты в целях обеспечения защиты персональных данных имеют следующие права:
      • на полную информацию об их персональных данных и обработке этих данных;
      • на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
      • на определение своих представителей для защиты своих персональных данных;
      • на требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с разрешения руководителя.
  6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
    1. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
    2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

Права и обязанности граждан в сфере охраны здоровья

Права и обязанности граждан в сфере охраны здоровья

Права и обязанности граждан в сфере охраны здоровья

Гражданин Российской Федерации имеет право на:

  1. Охрану здоровья и медицинскую помощь.
    Медицинская помощь в государственных и муниципальных учреждениях здравоохранения оказывается гражданам бесплатно за счет средств соответствующего бюджета, страховых взносов, других поступлений.
    ст. 41 Конституции Российской Федерации
    ст. 18, ст.19 Федерального закона от 21.11.2011  № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
  2. Выбор (замену) страховой медицинской организации, медицинской организации и лечащего врача.
    ст. 16 Федерального закона от 29.11.2010   № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»
    Выбор врача, оказывающего первичную медико-санитарную помощь (участкового или врача общей практики), регламентирован федеральным законом «Об основах охраны здоровья граждан в Российской Федерации». Направление к специалистам по амбулаторной помощи дает именно этот врач. Выбор врача реализуется путем подачи заявления на имя руководителя медицинского учреждения.
    Выбор врача должен осуществляться с учетом согласия врача, это закреплено в Территориальной программе государственных гарантий оказания гражданам РФ бесплатной медицинской помощи.
    Органы управления здравоохранением муниципальных образований осуществляют организацию медицинского обслуживания населения по участковому принципу с учетом критериев территориальной (в том числе транспортной) доступности доврачебной, врачебной и скорой медицинской (неотложной) помощи. Изменить прикрепление к поликлинике можно не чаще одного раза в год (кроме особых случаев - изменение места жительства и т.п.).

 

При обращении за медицинской помощью и ее получении пациент имеет право на:

  1. выбор врача и выбор медицинской организации;
  2. профилактику, диагностику, лечение, медицинскую реабилитацию в медицинских организациях в условиях, соответствующих санитарно-гигиеническим требованиям;
  3. получение консультаций врачей-специалистов;
  4. облегчение боли, связанной с заболеванием и (или) медицинским вмешательством, доступными методами и лекарственными препаратами;получение информации о своих правах и обязанностях, состоянии своего здоровья, выбор лиц, которым в интересах пациента может быть передана информация о состоянии его здоровья;
  5. получение лечебного питания в случае нахождения пациента на лечении в стационарных условиях;
  6. защиту сведений, составляющих врачебную тайну;
  7. отказ от медицинского вмешательства;
  8. возмещение вреда, причиненного здоровью при оказании ему медицинской помощи;
  9. допуск к нему адвоката или законного представителя для защиты своих прав;
  10. допуск к нему священнослужителя, а в случае нахождения пациента на лечении в стационарных условиях - на предоставление условий для отправления религиозных обрядов, проведение которых возможно в стационарных условиях, в том числе на предоставление отдельного помещения, если это не нарушает внутренний распорядок медицинской организации.
    ст.19, 21 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
  11. Обжалование действий государственных органов и должностных лиц, ущемляющих права и свободы граждан в области охраны здоровья.
  12. ст.5 Федерального закона от 02.05.2006  № 59-ФЗ «О порядке рассмотрения обращений граждан РФ»
    ст.1 Закона РФ от 27.04.1993 №4866-1 «Об обжаловании в суд действий и решений, нарушающих права и свободы граждан» (в ред. Федеральных законов от 14.12.1995 № 197-ФЗ, от 09.02.2009 № 4-ФЗ)

  13. Защиту прав и законных интересов в сфере ОМС. ст.16 Федерального закона от 29.11.2010  № 326-ФЗ «Об обязательном медицинском страховании в  Российской Федерации»
  14. Защиту сведений, составляющих врачебную тайну.
  15. Права беременных женщин и матерей в сфере охраны здоровья, применение вспомогательных репродуктивных технологий, искусственное прерывание беременности, медицинская стерилизация
    ст. 52, 55, 56, 57 Федерального закона РФ от 21.11.2011 №323-ФЗ «Об Основах охраны здоровья граждан в Российской Федерации» ст. 123 УК РФ

 

Пациент обязан:

1.2. В случаях, предусмотренных законодательством Российской Федерации, проходить медицинские осмотры, а пациент, страдающий заболеваниями, представляющими опасность для окружающих, в случаях, предусмотренных законодательством Российской Федерации, обязан проходить медицинское обследование и лечение, а также заниматься профилактикой этих заболеваний.
1.3. Своевременно обращаться за медицинской помощью. ст.27  Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

1.4. Соблюдать режим лечения, в том числе определенный на период временной нетрудоспособности.
1.5. Соблюдать правила поведения пациента в медицинских организациях

1.6. При  обращении за медицинской помощью в медицинскую  предоставить оригиналы следующих документов:

— паспорт гражданина Российской Федерации или временное удостоверение личности гражданина Российской Федерации, выдаваемое на период оформления паспорта;
— полис обязательного медицинского страхования;

для представителя гражданина, в том числе законного:
— документ, удостоверяющий личность, и документ, подтверждающий полномочия представителя;
приложение 3 к Территориальной программе  государственных гарантий бесплатного оказания гражданам медицинской помощи в Волгоградской области на соответствующий год.

 

Памятка для граждан о гарантиях бесплатного оказания медицинской помощи открыть

Об этом сайте - СТАТЬЯ 19

Защита вашей конфиденциальности

ARTICLE 19 обязуется защищать вашу конфиденциальность. Мы собираем данные только тогда, когда вы регистрируетесь, чтобы получать от нас обновления. Мы будем использовать пользовательские данные, которые мы собираем от вас, только в соответствии со следующими правилами:

  • для предоставления вам обновлений
  • для предоставления и улучшения наших услуг для вас, для уведомления вас о любых изменениях в наших условиях использования
  • Сбор персональных данных
  • регулируется нашей Политикой конфиденциальности.

Две из основных ценностей ARTICLE 19 - это подотчетность и честность. Мы считаем, что законное и правильное обращение с личной информацией имеет решающее значение для отстаивания наших ценностей и поддержания доверия между нами и теми, с кем мы работаем. Мы гарантируем, что обрабатываем личную информацию законно и правильно.

Политика безопасности данных ARTICLE 19 описывает наши обязательства в отношении соблюдения закона о защите данных и предназначена для поддержки:

  • Соблюдение закона о защите данных и передовой практики
  • Защита прав сторонников, бенефициаров, партнеров и сотрудников на неприкосновенность частной жизни
  • Открытость в отношении того, как мы обрабатываем конфиденциальные и личные данные
  • Управление рисками
  • Стандарты надлежащей практики в соответствии с нашими публично заявленными принципами.

Ссылки на сторонние веб-сайты

На этом веб-сайте мы размещаем ссылки на советы третьих лиц, которые могут быть полезны нашим пользователям. При использовании сайта вы можете получить доступ к другим веб-сайтам с помощью ссылок или гипертекста. Используя этот сайт, вы соглашаетесь с тем, что ARTICLE 19 не несет ответственности за рекомендации сторонних организаций, а также за содержание или работу таких сторонних веб-сайтов.

ARTICLE 19, насколько это разрешено законом, исключает любую ответственность, которая может возникнуть в результате использования или доверия к информации или содержанию, содержащимся на связанном сайте.

О файлах cookie

Файл cookie - это файл, содержащий идентификатор, состоящий из букв и цифр, который отправляется веб-сервером в веб-браузер и хранится в нем. Затем идентификатор отправляется обратно на сервер каждый раз, когда браузер запрашивает страницу с сервера.

Файлы cookie могут быть либо «постоянными», либо «сеансовыми»: постоянные файлы cookie будут храниться в веб-браузере и останутся действительными до установленной даты истечения срока действия, если они не будут удалены пользователем до истечения срока действия; cookie сеанса, с другой стороны, истекает в конце пользовательского сеанса, когда веб-браузер закрывается.Файлы cookie обычно не содержат никакой информации, которая идентифицирует личность пользователя, но личная информация, которую мы храним о вас, может быть связана с информацией, хранящейся в файлах cookie и полученной из файлов cookie.

Файлы cookie

могут использоваться веб-серверами для идентификации и отслеживания пользователей, когда они переходят на разные страницы веб-сайта, а также для идентификации пользователей, возвращающихся на веб-сайт.

Как АРТИКЛЬ 19 использует файлы cookie

ARTICLE 19 использует файлы cookie на своем веб-сайте, чтобы больше узнать о пользователях и улучшить их взаимодействие с веб-сайтом.Цели, для которых они используются, изложены ниже:

  • для повышения удобства использования веб-сайта
  • для анализа использования веб-сайта
  • для администрирования сайта
  • для повышения безопасности сайта

Мы используем Google Analytics Universal для анализа использования нашего веб-сайта. Наш поставщик аналитических услуг генерирует статистическую и другую информацию об использовании веб-сайта с помощью файлов cookie.

Информация, полученная о нашем веб-сайте, используется для создания отчетов об использовании нашего веб-сайта.С политикой конфиденциальности нашего поставщика услуг аналитики можно ознакомиться здесь.

Управление настройками файлов cookie

Большинство браузеров позволяют изменять настройки и предпочтения для файлов cookie. Воспользуйтесь ссылками ниже, чтобы ознакомиться с индивидуальными настройками браузера:

Если вы используете браузер, который не указан выше, обратитесь на их веб-сайт и в службы поддержки.

Китайский проект «Закона о защите личной информации» (полный перевод)

Этот перевод сделан Роджером Кримерсом, Мингли Ши и Лорен Дадли, и он был отредактирован Грэмом Вебстером.

[Примечание редактора (2021.01.05): после консультаций этот перевод был изменен и теперь 单独 同意 переводится как «отдельное согласие», а не как «конкретное согласие».]

[оригинал на китайском языке]

Закон Китайской Народной Республики о защите личной информации (проект)

Содержание

Глава I: Общие положения

Глава II: Правила обработки личной информации

Раздел I: Общие положения

Раздел II: Правила для Обработка конфиденциальной личной информации

Раздел III: Особые положения о государственных органах, работающих с личной информацией

Глава III: Правила трансграничного предоставления личной информации

Глава IV: Права физических лиц при работе с личной информацией

Глава V: Обязанности обработчиков личной информации

Глава VI: Департаменты, выполняющие обязанности по защите личной информации s и обязанности

Глава VII: Юридическая ответственность

Глава VIII: Дополнительные положения

Глава I: Общие положения

Статья 1: Настоящий Закон сформулирован с целью защиты прав и интересов в отношении личной информации, стандартизации деятельности по работе с личной информацией , гарантировать законный, упорядоченный и свободный поток личной информации и стимулировать разумное использование личной информации.

Статья 2: Личная информация физических лиц пользуется правовой защитой; никакая организация или физическое лицо не может нарушать права и интересы физических лиц в отношении личной информации.

Статья 3: Настоящий Закон применяется к организациям и физическим лицам, занимающимся персональной информацией физических лиц в пределах границ Китайской Народной Республики.

Настоящий Закон также применяется в случае наличия одного из следующих обстоятельств при работе с персональной информацией физических лиц за пределами Китайской Народной Республики в границах Китайской Народной Республики:

  1. Если цель заключается в предоставлении товаров или услуг физическим лицам внутри границ;
  2. При проведении анализа или оценки деятельности физических лиц внутри границ;
  3. Прочие обстоятельства, предусмотренные законами или административными постановлениями.

Статья 4: Личная информация - это все виды информации, записываемые электронными или другими способами, относящиеся к идентифицированным или идентифицируемым физическим лицам, за исключением информации после обработки анонимности.

Обработка личной информации включает сбор, хранение, использование, обработку, передачу, предоставление, публикацию и другие подобные действия личной информации.

Статья 5: При работе с личной информацией должны применяться законные и надлежащие методы и соблюдаться принцип искренности.Запрещается обрабатывать личную информацию обманным путем, вводить в заблуждение или другими подобными способами.

Статья 6: Обработка личной информации должна иметь ясную и разумную цель и ограничиваться минимальным объемом для реализации цели обработки. Запрещается обработка личной информации, не имеющая отношения к цели обработки.

Статья 7: При обращении с личной информацией должны соблюдаться принципы открытости и прозрачности, а правила обращения с личной информацией должны быть четко указаны.

Статья 8: Для достижения цели обработки обрабатываемая личная информация должна быть точной и своевременно обновляться.

Статья 9: Обработчики личной информации несут ответственность за свои действия по обработке личной информации и принимают необходимые меры для обеспечения безопасности обрабатываемой личной информации.

Статья 10: Ни одна организация или физическое лицо не может обрабатывать личную информацию в нарушение положений законов и административных постановлений или участвовать в деятельности по обработке личной информации, наносящей ущерб национальной безопасности или общественным интересам.

Статья 11: Государство создает структуру защиты личной информации для предотвращения и наказания действий, ущемляющих права и интересы личной информации, усиления пропаганды и просвещения по защите личной информации и содействия созданию благоприятных условий для защиты личной информации, с совместное участие правительства, предприятий, соответствующих отраслевых организаций и общественности.

Статья 12: Государство активно участвует в разработке международных правил [или норм] защиты личной информации, стимулирует международный обмен и сотрудничество в области защиты личной информации и способствует взаимному признанию правил защиты личной информации [или нормы], стандарты и др., с другими странами, регионами и международными организациями.

Глава II: Правила обработки личной информации

Раздел 1. Общие положения

Статья 13: Обработчики личной информации могут обрабатывать личную информацию только в том случае, если они соответствуют одному из следующих обстоятельств:

  1. Получение согласия физических лиц;
  2. При необходимости заключить или исполнить договор, в котором физическое лицо является заинтересованной стороной;
  3. Если это необходимо для выполнения установленных законом обязанностей и ответственности или установленных законом обязательств;
  4. При необходимости реагировать на внезапные инциденты со здоровьем или защищать жизнь и здоровье физических лиц или безопасность их имущества в чрезвычайных обстоятельствах;
  5. Обработка личной информации в разумных пределах для реализации новостных репортажей, надзора за общественным мнением и других подобных действий в общественных интересах;
  6. Прочие обстоятельства, предусмотренные законами и административными постановлениями.

Статья 14: Согласие на обработку личной информации должно быть дано физическими лицами при предварительном условии полного знания, а также в виде добровольного и четкого заявления о желании. Если законы или административные постановления предусматривают получение отдельного согласия или письменного согласия на обработку личной информации, эти положения соблюдаются.

В случае изменения цели обработки личной информации, метода обработки или категорий обрабатываемой личной информации согласие лица должно быть получено повторно.

Статья 15: Если обработчики личной информации знают или должны знать, что личная информация, которую они обрабатывают, является личной информацией несовершеннолетних, не достигших 14-летнего возраста, они должны получить согласие своего опекуна.

Статья 16: Физические лица имеют право отозвать свое согласие на действия по обработке личной информации, осуществляемые на основании согласия физических лиц.

Статья 17: Обработчики личной информации не могут отказывать в предоставлении продуктов или услуг на том основании, что физическое лицо не дает согласия на обработку своей личной информации или отменяет свое согласие на обработку личной информации, за исключением случаев, когда обработка личной информации необходима для предоставления продуктов или услуг.

Статья 18: Обработчики личной информации должны перед обработкой личной информации явным образом уведомить физических лиц о следующих элементах, используя ясный и понятный язык:

  1. Идентификационные данные и способ связи обработчика личной информации;
  2. Цель обработки и методы обработки личной информации, категории обрабатываемой личной информации и срок хранения;
  3. Способы и порядок реализации физическими лицами прав, предусмотренных настоящим Законом;
  4. Уведомление о других предметах, предусмотренных законами или административными постановлениями.

Если происходит изменение в вопросах, предусмотренных в предыдущем параграфе, физические лица должны быть уведомлены об изменении.

Если обработчики личной информации уведомляют о вопросах, предусмотренных в параграфе I, посредством метода формулирования правил обработки личной информации, правила обработки должны быть общедоступными и удобными для чтения и хранения.

Статья 19: Обработчикам личной информации, работающим с личной информацией, разрешается не уведомлять физических лиц об элементах, предусмотренных в предыдущей статье, в обстоятельствах, когда законы или административные постановления предусматривают, что секретность должна сохраняться или уведомление не требуется

В чрезвычайных обстоятельствах в случае невозможности своевременно уведомить физических лиц в целях защиты жизни, здоровья и сохранности их имущества физических лиц, обработчики персональных данных должны уведомить их после завершения чрезвычайных обстоятельств.

Статья 20: Сроки хранения личной информации - это самый короткий период, необходимый для реализации цели обработки личной информации. Если законы или административные постановления предусматривают иное в отношении сроков хранения личной информации, эти положения соблюдаются.

Статья 21: Если два или более обработчика личной информации совместно принимают решение о цели обработки личной информации и методе обработки, они должны согласовать права и обязанности каждого.Однако указанное соглашение не влияет на права человека требовать от любого обработчика личной информации выполнения положений настоящего Закона.

Если обработчики личной информации, совместно обрабатывающие личную информацию, наносят ущерб правам и интересам в отношении личной информации, они несут солидарную ответственность в соответствии с законом.

Статья 22: Если обработчики личной информации поручают обработку личной информации, они должны заключить соглашение с доверенной стороной о цели доверенной обработки, методе обработки, категориях личной информации, мерах защиты, а также права и обязанности обеих сторон и т. д., а также осуществлять надзор за действиями доверенной стороны по обработке личной информации.

Доверенные лица обрабатывают личную информацию в соответствии с соглашением; они не могут обрабатывать личную информацию в целях обработки или в методах обработки и т. д., выходящих за рамки соглашения; и после того, как контракт будет выполнен и завершен или доверительные отношения расторгнуты, вернуть личную информацию обработчику личной информации или удалить ее.

Без согласия обработчика личной информации доверенная сторона не может в дальнейшем поручать обработку личной информации другим лицам.

Статья 23: Обработчики личной информации должны, если это необходимо для передачи личной информации из-за слияний, разделений и других подобных причин, уведомлять физических лиц о личности получателя и способе связи. Принимающая сторона должна продолжать выполнять обязанности обработчика личной информации. Если принимающая сторона изменяет первоначальную цель обработки или метод обработки, она должна снова уведомить лицо, как это предусмотрено настоящим Законом, и получить его согласие.

Статья 24: Если обработчики личной информации предоставляют третьим сторонам личную информацию, которую они обрабатывают, они должны уведомить физических лиц о личности третьей стороны, их способе связи, цели обработки, способе обработки и категориях личной информации, а также получить отдельное согласие от физического лица. Третьи стороны, получающие личную информацию, будут обрабатывать личную информацию в рамках вышеупомянутых целей обработки, методов обработки, категорий личной информации и т. Д.Если третьи стороны изменяют первоначальную цель обработки или методы обработки, они должны снова уведомить человека, как это предусмотрено настоящим Законом, и получить его согласие.

Если обработчики личной информации предоставляют анонимную информацию третьим лицам, третьи стороны не могут использовать технические или другие методы для повторной идентификации лиц.

Статья 25 : При использовании личной информации для автоматизированного принятия решений гарантируется прозрачность принятия решений, а также справедливость и разумность результата обработки.Если человек считает, что автоматизированное принятие решений оказывает значительное влияние на его права и интересы, он имеет право потребовать, чтобы обработчики личной информации объяснили этот вопрос, и они имеют право отказать обработчикам личной информации принимать решения исключительно с помощью автоматизированных методов принятия решений. .

Те, кто осуществляет коммерческие продажи или продвижение информации с помощью автоматизированных методов принятия решений, должны одновременно предоставлять возможность не нацеливаться на индивидуальные характеристики.

Статья 26: Обработчики личной информации не могут публиковать личную информацию, которую они обрабатывают; за исключением случаев, когда они получают отдельное согласие от физического лица или законы или административные постановления не предусматривают иное.

Статья 27: Установка оборудования для сбора изображений или распознавания личности в общественных местах должна происходить в соответствии с требованиями обеспечения общественной безопасности и соблюдения соответствующих государственных постановлений, а также должны быть установлены четкие указательные знаки.Собранные личные изображения и характерная информация о личности может использоваться только в целях обеспечения общественной безопасности; он не может быть опубликован или предоставлен другим лицам, за исключением случаев, когда содержится отдельное согласие отдельных лиц или если иное не предусмотрено законами или административными постановлениями.

Статья 28: Обработчики личной информации, работающие с уже опубликованной личной информацией, должны соответствовать цели на момент публикации указанной личной информации; если они превышают разумный объем, связанный с указанной целью, они должны уведомить пользователя в соответствии с положениями настоящего Закона и получить его согласие.

Если цель на момент публикации личной информации не ясна, обработчики личной информации должны обращаться с опубликованной личной информацией разумно и осторожно; о действиях с использованием опубликованной личной информации, оказывающей значительное влияние на физических лиц, физическое лицо должно быть уведомлено в соответствии с положениями настоящего Закона и получено его согласие.

Раздел 2: Правила обработки конфиденциальной личной информации

Статья 29: Обработчики личной информации могут обрабатывать конфиденциальную личную информацию только для определенных целей и при достаточной необходимости.

Конфиденциальная личная информация означает личную информацию, которая после утечки или незаконного использования может вызвать дискриминацию в отношении отдельных лиц или причинить серьезный ущерб личной или имущественной безопасности, включая информацию о расе, этнической принадлежности, религиозных убеждениях, индивидуальных биометрических характеристиках, состоянии здоровья, финансовых счетах и ​​т. Д. индивидуальное отслеживание местоположения и т. д.

Статья 30: В случае обработки конфиденциальной личной информации на основании индивидуального согласия обработчики личной информации должны получить отдельное согласие от физического лица.Если законы или административные постановления предусматривают получение письменного согласия на обработку конфиденциальной личной информации, эти положения выполняются.

Статья 31: Если обработчики личной информации обрабатывают конфиденциальную личную информацию, помимо требований статьи 18 настоящего Закона они также уведомляют физическое лицо о необходимости обработки конфиденциальной личной информации, а также о влиянии на человека. .

Статья 32: Если законы или административные постановления предусматривают получение соответствующих административных лицензий или налагаются более строгие ограничения на обработку конфиденциальной личной информации, эти положения выполняются.

Раздел 3. Особенности обращения государственных органов с персональной информацией

Статья 33: Настоящий Закон распространяется на деятельность государственных органов по обращению с персональной информацией; там, где этот Раздел содержит особые положения, применяются положения настоящего Раздела.

Статья 34: Государственные органы, работающие с личной информацией для выполнения своих уставных обязанностей и ответственности, должны осуществлять их в соответствии с полномочиями и процедурами, предусмотренными законами или административными постановлениями; они не могут выходить за рамки или пределы, необходимые для выполнения своих уставных обязанностей и ответственности.

Статья 35: Государственные органы, обрабатывающие личную информацию в целях выполнения установленных законом обязанностей и ответственности, должны уведомлять физических лиц в соответствии с положениями настоящего Закона и получать их согласие, за исключением случаев, когда законы или административные постановления предусматривают защиту секретности, или если уведомление и получение согласия будут препятствовать выполнению государственными органами своих уставных обязанностей и ответственности.

Статья 36: Государственные органы не могут публиковать личную информацию, которую они обрабатывают, или предоставлять ее другим лицам, за исключением случаев, когда законами или административными постановлениями предусмотрено иное или если согласие физического лица получено.

Статья 37: Личная информация, обрабатываемая государственными органами, должна храниться в пределах Китайской Народной Республики; в случае необходимости предоставления за границей проводится оценка рисков. От соответствующих отделов может потребоваться поддержка и помощь в оценке рисков.

Глава III: Положение о трансграничном предоставлении личной информации

Статья 38: Если обработчики личной информации должны предоставить личную информацию за пределами Китайской Народной Республики для бизнеса или другие подобные требования, они должны выполнить хотя бы одно из следующих условий:

  1. прохождение аттестации по безопасности, организованной Государственным управлением кибербезопасности и информатизации в соответствии со статьей 40 настоящего Закона;
  2. Прохождение сертификации защиты персональной информации, проводимой специализированным органом в соответствии с положениями Государственного департамента кибербезопасности и информатизации;
  3. Заключение договора с иностранной принимающей стороной, согласование прав и обязанностей обеих сторон и контроль за соблюдением их действий по обработке личной информации стандартам защиты личной информации, предусмотренным настоящим Законом;
  4. Другие условия, предусмотренные законами или административными постановлениями или Государственным департаментом кибербезопасности и информатизации.

Статья 39: Если обработчики личной информации предоставляют личную информацию за пределами Китайской Народной Республики, они должны уведомить лицо о личности иностранной принимающей стороны, способе связи, цели обработки, методах обработки и личной информации. категории, а также способы осуществления физическими лицами прав, предусмотренных настоящим Законом, с иностранной принимающей стороной и другие подобные вопросы, а также получение отдельного согласия физических лиц.

Статья 40: Операторы критически важной информационной инфраструктуры и обработчики личной информации, обрабатывающие личную информацию, достигающую объемов, предоставляемых Государственным департаментом кибербезопасности и информатизации, должны хранить личную информацию, собранную и произведенную в пределах границ Китайской Народной Республики внутри страны. В случае необходимости предоставления за границей они должны пройти аттестацию безопасности, организованную Государственным управлением кибербезопасности и информатизации; если законы или административные постановления и положения Государственного департамента кибербезопасности и информатизации позволяют не проводить оценку безопасности, эти положения соблюдаются.

Статья 41: Если необходимо предоставить личную информацию за пределами Китайской Народной Республики для оказания международной судебной помощи или административной помощи правоохранительным органам, заявление должно быть подано в соответствующий компетентный департамент для утверждения в соответствии с закон.

Если Китайская Народная Республика заключила или участвует в международных договорах или соглашениях, которые содержат положения, касающиеся предоставления личной информации за пределами Китайской Народной Республики, эти положения соблюдаются.

Статья 42: В случаях, когда иностранные организации или частные лица участвуют в действиях по обработке личной информации, ущемляющих права и интересы граждан Китайской Народной Республики в отношении личной информации или наносящих ущерб национальной безопасности или общественным интересам Китайской Народной Республики, государство Отдел кибербезопасности и информатизации может внести их в список, ограничивающий или запрещающий предоставление личной информации, выносить предупреждение и принимать такие меры, как ограничение или запрет на предоставление им личной информации и т. д.

Статья 43: Если какая-либо страна или регион принимает дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики в области защиты личной информации, Китайская Народная Республика может принять ответные меры против указанной страны или региона на исходя из реальных обстоятельств.

Глава IV: Индивидуальные права при обработке личной информации

Статья 44: Физические лица имеют право знать свою личную информацию и право принимать решения, а также право ограничивать или отказываться от обработки своей личной информации. другими лицами, если иное не предусмотрено законами или административными постановлениями.

Статья 45: Физические лица имеют право получать доступ к своей личной информации и копировать ее из обработчиков личной информации, за исключением случаев, предусмотренных частью первой статьи 19 настоящего Закона.

Если люди запрашивают доступ или копируют свою личную информацию, обработчики личной информации должны предоставить ее своевременно.

Статья 46: Если люди обнаруживают, что их личная информация неверна или неполна, они имеют право потребовать, чтобы обработчики личной информации исправили или дополнили их личную информацию.Если люди просят исправить или дополнить свою личную информацию, обработчики личной информации должны проверить личную информацию и исправить или дополнить ее своевременно.

Статья 47: Обработчики личной информации должны активно или на основании индивидуальных запросов удалять личную информацию при возникновении одного из следующих обстоятельств:

  1. Согласованный срок хранения истек или цель обработки достигнута;
  2. Обработчики личной информации прекращают предоставление продуктов или услуг;
  3. Физическое лицо отказывается от согласия;
  4. Обработчики личной информации обрабатывали личную информацию в нарушение законов, административных правил или соглашений;
  5. Прочие обстоятельства, предусмотренные законами или административными постановлениями.

Если период хранения, предусмотренный законами или административными постановлениями, не истек или удаление личной информации технически сложно осуществить, обработчики личной информации должны прекратить обработку личной информации.

Статья 48: Физические лица имеют право требовать от обработчиков личной информации разъяснений правил обращения с личной информацией.

Статья 49: Обработчики личной информации должны создать механизмы для приема и обработки заявлений от физических лиц для реализации своих прав.Если они отклоняют просьбы отдельных лиц об осуществлении своих прав, они должны объяснить причину.

Глава V: Обязанности обработчиков личной информации

Статья 50: Обработчики личной информации должны, исходя из цели обработки личной информации, методов обработки, категорий личной информации, а также влияния на отдельных лиц, возможно, существующих риски безопасности и т. д., принять необходимые меры для обеспечения того, чтобы обработка личной информации соответствовала положениям законов и административных положений, и предотвратить несанкционированный доступ, а также утечку или кражу, искажение или удаление личной информации:

  1. Формирование внутренних структур управления и правила эксплуатации;
  2. Внедрение многоуровневого и категоризированного управления личной информацией;
  3. Принятие соответствующих технических мер безопасности, таких как шифрование, деидентификация и т. Д.;
  4. Обоснованное определение операционных ограничений на обработку личной информации и регулярное проведение обучения и тренингов по вопросам безопасности для сотрудников;
  5. Составление и организация реализации планов реагирования на инциденты, связанные с безопасностью персональных данных;
  6. Другие меры, предусмотренные законами или административными постановлениями.

Статья 51: Обработчики личной информации, которые обрабатывают личную информацию, достигающую объемов, предусмотренных Государственным управлением кибербезопасности и информатизации, должны назначать лиц, ответственных за защиту личной информации, ответственных за осуществление надзора за деятельностью по обработке личной информации, а также принятые меры защиты, и т.п.

Обработчики личной информации должны публиковать имена, методы связи и т. Д. Лиц, ответственных за защиту личной информации, и сообщать о них отделам, выполняющим обязанности и ответственность по защите личной информации.

Статья 52: Обработчики личной информации за пределами Китайской Народной Республики, как это предусмотрено в статье 3, параграфе II настоящего Закона, должны учредить специальную организацию или назначить представителя в границах Китайской Народной Республики, который будет отвечает за вопросы, связанные с личной информацией, которую они обрабатывают, и будет сообщать название соответствующей организации или имя и способ связи и т. д., представителя в отделы, выполняющие обязанности и ответственность по защите персональной информации.

Статья 53: Обработчики личной информации должны регулярно проводить аудиторские проверки того, соответствуют ли их операции по обработке личной информации, принимаемые ими меры защиты и т. Д. Положениям законов и административных постановлений. Отделы, выполняющие обязанности и ответственность по защите личной информации, могут потребовать, чтобы обработчики личной информации доверили проведение аудитов специализированным организациям.

Статья 54: Обработчики личной информации должны проводить оценку риска до следующих действий по обработке личной информации и регистрировать ситуацию обработки:

  1. Обработка конфиденциальной личной информации;
  2. Использование личной информации для автоматизированного принятия решений;
  3. Поручение обработки личной информации, предоставление личной информации третьим лицам или публикация личной информации;
  4. Предоставление личной информации за рубежом;
  5. Другая деятельность по обработке личной информации, оказывающая значительное влияние на отдельных лиц.

Содержание оценки риска должно включать:

  1. Являются ли цель обработки личной информации, метод обработки и т. Д. Законными, законными и необходимыми;
  2. Влияние на людей и степень риска;
  3. Являются ли принятые меры защиты законными, эффективными и соответствуют ли они степени риска.

Отчеты об оценке рисков и записи о статусе обработки должны храниться не менее трех лет.

Статья 55: Если обработчики личной информации обнаруживают утечку личной информации, они должны немедленно принять меры по исправлению положения и уведомить отделы, выполняющие обязанности и ответственность по защите личной информации, а также отдельных лиц. Уведомление должно содержать следующие элементы:

  1. Причина утечки персональной информации;
  2. Категории утечки личной информации и вред, который может быть нанесен;
  3. Принятые лечебные мероприятия;
  4. Меры, которые могут принимать физические лица для уменьшения вреда;
  5. Способ связи обработчика личной информации.

Если обработчики личной информации принимают меры, которые могут эффективно избежать ущерба, причиненного утечкой информации, обработчикам личной информации разрешается не уведомлять отдельных лиц; однако, если отделы, выполняющие обязанности и ответственность по защите личной информации, полагают, что утечка личной информации может причинить вред людям, они могут потребовать, чтобы обработчики личной информации уведомили людей.

Глава VI: Департаменты, выполняющие обязанности и ответственность по защите личной информации.

Статья 56: Государственный департамент кибербезопасности и информатизации несет ответственность за комплексное планирование и координацию работы по защите личной информации, а также за соответствующий надзор и работу по управлению. Соответствующие департаменты Государственного совета несут ответственность за защиту личной информации, надзор и управление в рамках своих соответствующих обязанностей и ответственности в соответствии с положениями настоящего Закона и соответствующими законами и административными постановлениями.

Обязанности и ответственность соответствующих департаментов народных правительств по защите личной информации, надзору и управлению на уровне округов и выше определяются согласно соответствующим постановлениям штата.

Департаменты, указанные в двух предыдущих параграфах, являются совместно названными департаментами, выполняющими обязанности и ответственность по защите личной информации.

Статья 57: Департаменты, выполняющие обязанности и ответственность по защите личной информации, выполняют следующие обязанности и ответственность по защите личной информации:

  1. Проведение пропаганды и просвещения по защите личной информации, а также руководство и надзор за проведением работниками обработки личной информации работы по защите личной информации ;
  2. Прием и обработка жалоб и отчетов, связанных с защитой персональной информации;
  3. Расследование и обработка незаконных действий, связанных с обращением с личной информацией;
  4. Прочие обязанности и ответственность, предусмотренные законами или административными постановлениями.

Статья 58: Государственный департамент кибербезопасности и информатизации и соответствующие департаменты Государственного совета в соответствии со своими обязанностями, обязанностями и полномочиями организуют разработку правил и стандартов, связанных с защитой личной информации, способствуют созданию социальной службы. система защиты личной информации, а также поддержка соответствующих органов в проведении услуг по оценке и сертификации защиты личной информации.

Статья 59: Когда отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют обязанности и ответственность по защите личной информации, они могут принимать следующие меры:

  1. Проведение собеседований с соответствующими заинтересованными сторонами, расследование обстоятельств, связанных с деятельностью по работе с личной информацией;
  2. Консультации и воспроизведение контрактов, записей, квитанций и других соответствующих материалов, относящихся к деятельности по обработке личной информации, с заинтересованной стороной;
  3. Проведение выездных проверок, расследование подозрений в незаконном обращении с персональной информацией;
  4. Проверка оборудования и товаров, связанных с обработкой личной информации; оборудование и товары, связанные с деятельностью по предоставлению личной информации, если есть доказательства, подтверждающие ее незаконность, могут быть опечатаны или конфискованы.

Если отделы, выполняющие обязанности и ответственность по защите личной информации, выполняют свои обязанности и ответственность в соответствии с законом, заинтересованные стороны должны оказывать помощь и сотрудничать, и они не могут препятствовать или препятствовать им.

Статья 60: Если отделы, выполняющие обязанности и ответственность по защите личной информации, обнаруживают относительно большие риски, связанные с деятельностью по обработке личной информации, или происходят инциденты, связанные с безопасностью личной информации, они могут провести беседу с законным представителем указанного обработчика личной информации или основными ответственными лицами в соответствии с регулирующим полномочиям и процедурам.Обработчики личной информации должны принять меры в соответствии с требованиями для исправления ситуации и устранения уязвимости.

Статья 61: Любая организация или физическое лицо имеет право подать жалобу или сообщить о незаконных действиях по обработке личной информации в отделы, выполняющие обязанности и ответственность по защите личной информации. Департаменты, получающие жалобы или отчеты, должны обрабатывать их быстро и в соответствии с законом и уведомлять лицо, подавшее жалобу или сообщающее о результатах рассмотрения.Департаменты, выполняющие обязанности и ответственность по защите личной информации, должны публиковать способы связи для приема жалоб и отчетов.

Глава 7: Юридическая ответственность

Статья 62: Если личная информация обрабатывается с нарушением настоящего Закона или личная информация обрабатывается без принятия необходимых мер безопасности в соответствии с нормативными актами, отделы, выполняющие обязанности и обязанности по защите личной информации исправление, конфискация незаконных доходов и вынесение предупреждения; в случае отказа в исправлении дополнительно налагается штраф в размере не более 1 миллиона юаней; непосредственное ответственное лицо и другой непосредственно ответственный персонал оштрафованы на сумму от 10 000 до 100 000 юаней.

Если обстоятельства противоправных действий, упомянутых в предыдущем параграфе, являются серьезными, отделы, выполняющие обязанности и ответственность по защите личной информации, исправляют порядок, конфискуют незаконный доход и налагают штраф в размере не более 50 миллионов юаней, или 5% годовых. доход. Они также могут приказать приостановить соответствующую коммерческую деятельность, прекратить деятельность для исправления и сообщить в соответствующий компетентный департамент об аннулировании соответствующих профессиональных лицензий или аннулировании разрешений на ведение бизнеса.Непосредственно ответственное лицо и другой непосредственно ответственный персонал оштрафованы на сумму от 100 000 до 1 миллиона юаней.

Статья 63: В случае совершения противоправных действий, предусмотренных настоящим законом, они будут занесены в кредитные файлы, как это предусмотрено соответствующими законами и административными постановлениями, и опубликованы.

Статья 64: В случае невыполнения государственными органами обязанностей по защите личной информации, предусмотренных настоящим Законом, их вышестоящие органы или подразделения, выполняющие обязанности и ответственность по защите личной информации, выносят постановление об исправлении; непосредственно ответственное лицо и другие непосредственно ответственные лица будут наказаны в соответствии с законом.

Статья 65: В случае нарушения прав и интересов в отношении личной информации в результате действий, связанных с обработкой личной информации, обработчик личной информации несет ответственность за компенсацию физическим лицам понесенных убытков или выгоды, полученной обработчиком личной информации; если трудно определить убытки, понесенные физическим лицом, или выгоды, полученные обработчиком личной информации, Народный суд определяет размер компенсации в соответствии с реальной ситуацией.Если обработчик личной информации сможет доказать, что он не виноват, он может быть освобожден от ответственности или освобожден от нее.

Статья 66: Если обработчики личной информации обрабатывают личную информацию в нарушение положений настоящего Закона, ущемляя права и преимущества многих лиц, Народной прокуратуры, ведомств, выполняющих обязанности и ответственность по защите личной информации, и государственной кибербезопасности Департамент информатизации может подать иск в Народный суд в соответствии с законом.

Статья 67: Если нарушение положений настоящего Закона составляет нарушение управления общественной безопасностью, наказание в отношении управления общественной безопасностью налагается в соответствии с законом; если это составляет преступление, уголовная ответственность расследуется в соответствии с законом.

Глава VIII: Дополнительные положения

Статья 68: Этот закон не применяется, если физическое лицо обрабатывает личную информацию в личных или домашних делах.

Если законы содержат положения об обработке личной информации в процессе статистической или архивной деятельности, организованной и осуществляемой народными правительствами всех уровней и соответствующими департаментами, эти положения соблюдаются.

Статья 69: Следующие термины настоящего Закона определены следующим образом:

  1. «Обработчик личной информации» относится к организациям и частным лицам, которые самостоятельно определяют цели обработки, методы обработки и другие подобные вопросы обработки личной информации.
  2. «Автоматизированное принятие решений» относится к действиям, которые используют личную информацию для автоматического анализа, оценки и принятия решений с помощью компьютерных программ индивидуального поведения и привычек, интересов и хобби или ситуаций, связанных с финансами, здоровьем или кредитным статусом.
  3. «Деидентификация» относится к процессу обработки личной информации, чтобы гарантировать невозможность идентификации конкретных физических лиц без поддержки дополнительной информации.
  4. «Анонимизация» относится к процессу обработки личной информации, чтобы сделать невозможным различение конкретных физических лиц и невозможность восстановления.

Статья 70: Настоящий Закон вступает в силу [число, месяц, год].

Законодательные заключения для федерального законодательства о конфиденциальности

ВВЕДЕНИЕ

С тех пор, как после промежуточных выборов 2018 г. начались всерьез дебаты по законодательству о конфиденциальности, члены Конгресса выпустили более 20 всеобъемлющих законопроектов или проектов о конфиденциальности информации. Большинство этих законопроектов не содержат предлагаемых законодательных выводов или заявлений о политике, которые объясняют всеобъемлющие основы законодательства.Такие заявления носят скорее риторический, чем практический характер, но эта риторика может выполнять несколько важных функций. В свете этого, поскольку Палата представителей, Сенат и новая президентская администрация готовятся к 117-му Конгрессу, мы предлагаем набор законодательных выводов для федерального законодательства о конфиденциальности в качестве шаблона для предстоящих дебатов.

Некоторые законопроекты, такие как Закон о защите данных сенатора Кирстен Гиллибранд (штат Нью-Йорк) и Закон о защите данных и прозрачности данных сенатора Шеррода Брауна (округ Огайо), содержат заявления о законодательных выводах или политике, но в большинстве таких нет.В частности, законодательные выводы отсутствуют в законопроектах, которые являются наиболее вероятной отправной точкой для принятия законодательства в 2021 году: Закон сенатора Марии Кантуэлл (штат Вашингтон) о правах потребителей в Интернете, сенатор Роджер Викер (республиканец) БЕЗОПАСНЫЕ ДАННЫЕ Закон, а также «двухпартийный кадровый проект» Палаты представителей энергетики и торговли (хотя в последнем есть заполнитель в квадратных скобках).

Эти упущения понятны. Основные положения законодательства о конфиденциальности представляют множество сложных и спорных вопросов, которые мы исследовали в нашем отчете «Устранение пробелов: путь к федеральному законодательству о конфиденциальности» в июне прошлого года.В этом отчете, в частности, были проанализированы законопроекты Wicker и Cantwell и предложены способы урегулирования разногласий, в том числе по поляризованным вопросам преимущественного права и частного права иска. Чтобы наши рекомендации были конкретными, мы также подготовили полный текст закона. Полное, то есть кроме законодательных заключений. Как и в двухпартийном кадровом проекте Палаты представителей, предлагаемый нами законодательный текст вставлен только в качестве заполнителя. В отчете «Устранение пробелов» кратко комментируется важность результатов и упоминается «текущий проект» по содержанию таких результатов.Здесь мы представляем выводы законодательства и заявления о политике в качестве конечного продукта этих усилий. Они стремятся обеспечить всеобъемлющую основу для нашего июньского отчета и заполнить пустые места в проекте закона о конфиденциальности. Мы надеемся стимулировать дальнейшее обсуждение формулировки основополагающих принципов и целей законодательства о конфиденциальности.

«Законодательные выводы представляют собой аргумент в пользу законопроекта, который может помочь заручиться поддержкой Конгресса и общества».

Законодательные выводы представляют собой аргумент в пользу законопроекта, который может помочь заручиться поддержкой Конгресса и общества.Что еще более важно, они создают протокол намерений Конгресса, который может служить ориентиром для толкования судами, административными органами и затронутыми сторонами, а также излагать основания для защиты законодательства против конституционных возражений. Такой отчет будет иметь важное значение для неизбежных вызовов законодательству о конфиденциальности, особенно в отношении защиты коммерческих высказываний Первой поправки или постоянных вопросов, связанных со Статьей III. Поскольку в Конгрессе до 2021 года продолжается обсуждение законодательства о конфиденциальности, выводы законодательства дадут возможность сделать заявление о значении конфиденциальности, которое может не только информировать судей, регулирующих органов и юристов, применяющих закон о конфиденциальности, но и декларировать американские ценности. к миру.

Чего достигают законодательные заключения?

В своем письме для Юридического обзора Чикагского университета профессор права Университета Бригама Янга Джаррод Шобе проводит редкое и тщательное исследование использования и юридического значения законодательных выводов и целей в принятых законодательных актах. В обзоре 30-летнего законодательства, фигурирующего в Уставе в целом, хронологическом собрании законов, принятых Конгрессом, Шобе обнаруживает, что большинство «важных законопроектов» содержало выводы.Тем не менее, отмечает он, суды и ученые-правоведы уделяют им мало внимания. Это судебное упущение является неправильным, утверждает он, потому что «[e] введенные выводы и цели являются законом, как и любой другой закон, и нет причин, по которым им не следует придавать всю силу закона».

Шобе указывает на институциональные причины недооценки законодательных выводов: они часто публикуются только в статутах в целом, вычеркиваются, когда законодательство кодифицируется в Кодексе Соединенных Штатов, и не одобряются Палатой представителей и офисами законодательного совета Сената.Короче говоря, это упущение не указывает на отсутствие юридического значения, а, скорее, отражает простой вопрос практики Управления юриспруденции, внепартийного офиса Конгресса, которому по закону поручено «[c] классифицировать недавно принятые положения закона в соответствии с их правовыми нормами». надлежащие позиции в Кодексе ». Если Конгресс хочет, чтобы его текст имел значение, возможно, ему следует изменить эту практику отнесения утвержденных выводов и заявлений о целях либо к труднодоступным законодательным примечаниям, либо к Уставу в целом.

Новаторский аргумент профессора Шобе имеет смысл.Наиболее известный вклад покойного судьи Верховного суда Антонина Скалиа в американское право заключался в значении текстуализма в толковании законов (не путать со вторым и более обсуждаемым вкладом Скалии - оригинализмом в толковании конституции). Начиная со своего первого срока в Верховном суде, Скалиа вел борьбу против использования истории законодательства для толкования статутов, отклоняя заявления спонсоров и даже отчеты комитетов как не имеющие отношения к значению текста и сомнительное отражение намерений Конгресса в целом. .В результате, как выразился Джонатан Сигел, «[мы] все теперь текстулисты по сравнению с 1960-ми и 1970-ми годами». Как указывает Шобе, законодательные выводы представляют собой заявления Конгресса в другом порядке. «Текст - это закон», - утверждал Скалиа, - и законодательные выводы, принятые Конгрессом, являются неотъемлемой частью этого текста, принятого Конгрессом в полном составе, так же, как и другие части законопроекта.

Необходимость законодательных выводов в отношении законодательства о конфиденциальности

Законодательные выводы будут иметь значение в законодательстве о конфиденциальности.Законодательство о конфиденциальности регулирует использование личной информации, и любое законодательство, регулирующее информацию, может иметь отношение к Первой поправке. Верховный суд распространил защиту Первой поправки на коммерческие высказывания, в частности на рекламу и маркетинг, хотя и с более мягкими стандартами, чем для некоммерческих высказываний. В соответствии с этим стандартом любые правительственные ограничения на коммерческие высказывания должны «напрямую продвигать» «существенные» государственные интересы, тогда как ограничения на другие высказывания должны быть «узко адаптированы» к интересам, которые являются «неотразимыми».«Случаи коммерческой речи поднимают вопросы о том, как законодательство о конфиденциальности может ограничивать предприятия, которые делятся личной информацией с третьими сторонами, отслеживают и профилируют онлайн-пользователей для рекламы и маркетинга, обслуживают рекламу на основе личной информации, а также собирают и распространяют информацию, которая может считаться общедоступной. Неизбежно некоторые из этих вопросов станут судебными.

В частности, решение Верховного суда от 2011 года по делу Соррелл против IMS Health может повысить вероятность того, что ограничения на рекламу и маркетинг, вытекающие из законодательства о конфиденциальности, будут оспорены на основании Первой поправки.Решение Sorrell было принято на основании закона Вермонта, который запрещал аптекам раскрывать информацию, которая связывает врачей с рецептами на лекарства с «майнерами данных», и запрещает производителям фармацевтических препаратов использовать такую ​​информацию для связи с врачами в маркетинговых целях. Суд усмотрел в законе дискриминацию в отношении этих фармацевтических производителей и продавцов, с одной стороны, в то время как другим было разрешено использовать ту же информацию о рецептах в немаркетинговых целях. Поэтому он отменил закон в соответствии с более строгим стандартом, который применяется к дискриминации в выражении мнения (но сказал, что тот же результат будет применяться в соответствии с более мягким стандартом коммерческой речи).

Это узкое обоснование осложнялось запутанной историей статута, в результате чего влияние решения Суда на пределы конфиденциальности оставалось открытым для толкования. Примечательно, что Суд противопоставил узконаправленный закон Вермонта более широкой защите Закона о переносимости и подотчетности медицинского страхования (HIPAA) и предположил, что статут, подобный HIPAA, «будет представлять собой совершенно иной случай, чем тот, который представлен здесь». Тем не менее, потенциальное влияние законодательства о конфиденциальности на коммерческую речь было поднято в ходе дебатов о конфиденциальности, и оппоненты, вероятно, сослались бы на Sorrell как на поддержку своих утверждений.Действительно, закон штата Мэн, устанавливающий требования к конфиденциальности специально для провайдеров широкополосной связи, подвергается сомнению на том основании, что он дискриминирует спикеров Первой поправки, а поставщик систем распознавания лиц Clearview AI защищает иск в соответствии с Законом Иллинойса о защите биометрической информации на аналогичных основаниях. Законодательные выводы помогут выполнить эффективное руководство Верховного суда в документе Sorrell - о том, что Конгресс должен разъяснить общие общественные цели, которые ставит перед собой базовый закон о конфиденциальности.

Закон

о конфиденциальности также должен учитывать решение Верховного суда Spokeo v. Robins 2016 о правоспособности. Это коллективное дело было возбуждено в соответствии с первым федеральным законом о конфиденциальности - Законом о справедливой кредитной истории 1970 года - истцом, который утверждал, что «поисковая машина», использованная для оценки индивидуального кредита, содержала неточности и требовала возмещения убытков. Суд отправил дело обратно в суды низшей инстанции, чтобы определить, были ли утверждения о нематериальном ущербе «конкретными» и «достаточно конкретными», чтобы удовлетворить требованиям, предъявляемым к делу или разногласиям для подачи иска в федеральный суд в соответствии со статьей III Конституции.Обсуждая эти требования, Суд отметил, что ущемление прав, таких как свобода слова и свободное исповедание религии, может быть конкретным для этих целей, даже если оно является абстрактным. Хотя Суд постановил, что не всякая неточность или процедурное нарушение в соответствии с FCRA составляет конкретный ущерб, он признал, что при рассмотрении вопроса «является ли нематериальный ущерб вредом на самом деле, поучительны как история, так и решение Конгресса». В решении Spokeo прямо признается, что «Конгресс имеет все возможности для выявления нематериального ущерба, который соответствует минимальным требованиям Статьи III…». Это прямо предлагает Конгрессу выявить и сформулировать ущерб конфиденциальности.

«Законодательные выводы в отношении законодательства о неприкосновенности частной жизни будут равносильны записке Конгресса в Верховный суд».

В контексте подобных вопросов, законодательные выводы в законодательстве о неприкосновенности частной жизни будут равносильны записке Конгресса в Верховный суд, в котором могут быть сформулированы «существенные» или «неотложные» интересы - и то, как закон напрямую продвигает эти интересы, а также ограничивает вред, который наносится нарушения конфиденциальности могут причинить физическим лицам. С учетом силы закона такое краткое изложение было бы гораздо более убедительным, чем любые «апелляционные доводы апелляционного адвоката постфактум для действий агентства».”

Наши предлагаемые законодательные выводы

Принимая во внимание эти соображения, мы подготовили ряд законодательных выводов и политических выводов, чтобы предвидеть и решать эти вероятные проблемы. Наше предложение предназначено для информирования о толковании судами, Федеральной торговой комиссией и многими другими сторонами, которые будут применять законодательство о конфиденциальности и должны понимать намерения Конгресса. Эти предлагаемые выводы являются более обширными и подробными, чем то, что типично для большинства законодательных актов (хотя и гораздо более кратко, чем 173 декларации и 31 страница, объясняющие Общие правила защиты данных Европейского Союза).Однако, в отличие от членов Конгресса, мы не стремимся завоевать голоса большинства коллег или объявить набор выводов. Вместо этого наша цель как ученых аналитического центра состоит в том, чтобы предоставить Конгрессу и заинтересованным сторонам всесторонний план для рассмотрения, а также аргументы в поддержку рекомендаций, содержащихся в нашем июньском отчете. Мы предоставляем Конгрессу возможность преобразовать такие идеи в энергичные декларации о принятом законодательстве, поскольку дебаты о конфиденциальности основываются на текущих законопроектах на следующем Конгрессе.

При разработке этих предлагаемых выводов мы по возможности опирались на существующие декларации в действующем законодательстве.В сносках к предлагаемому языку указаны эти и другие источники языка.

Выводы, представленные ниже, содержат пять сегментов. Мы начнем с краткого изложения правовых, моральных и исторических основ конфиденциальности в Америке, демонстрируя, что конфиденциальность - это ценность, глубоко укоренившаяся в американском законодательстве и обществе, и описываем часть истории, на которую Верховный суд сослался в Spokeo . Во-вторых, мы рассказываем о последних технологических разработках, которые лежат в основе необходимости в законодательстве, особенно об увеличении объемов данных и широкомасштабном сборе и обмене личной информацией в качестве основы для законодательных целей.

«Конфиденциальность - это ценность, глубоко укоренившаяся в американском законодательстве и обществе».

Третий и четвертый сегменты определяют эти цели. Третий определяет последствия этих изменений, на которые направлено законодательство о конфиденциальности, а четвертый объясняет, как оно направлено на их устранение. Наконец, мы завершаем набор деклараций политики, которые выражают ключевые правительственные цели (которые могут быть несколько шире, чем выводы и конкретные положения законодательства), как это сделал Конгресс как в Законе о справедливой кредитной отчетности 1970 года (FCRA), так и в «Разделе 230 »Закона о связи 1934 года с поправками (47 U.S.C. § 230). FCRA является основополагающим национальным законом о конфиденциальности не только в Соединенных Штатах, но и во всем мире, а раздел 230 направлен на некоторые из тех же секторов, на которые больше всего распространяется действие законодательства о конфиденциальности. Предлагаемые результаты обращаются к причинам потенциальных компромиссов, изложенных в нашем отчете «Устранение пробелов»: специализированное федеральное упреждение, индивидуальные права, направленные на признанный вред конфиденциальности, и поэтапный подход к рискам и обязательствам, сосредоточенный на обязанностях лояльности и заботы, которые уравновешивают предписания и гибкость.

ПРЕДЛАГАЕМЫЕ РЕЗУЛЬТАТЫ

Правовые, моральные и исторические основы конфиденциальности в Америке
  • Право на неприкосновенность частной жизни - это личное и основное право, защищенное Конституцией США. 1
  • Американцы дорожат конфиденциальностью как важным элементом своей личной и общественной жизни, а также нашей системы самоуправления. 2 Он служит основным человеческим потребностям, укрывая зоны индивидуальной свободы, автономии, уединения и самоопределения, включая осуществление свободы выражения; для семейной жизни, близости и других отношений; и для физического и морального пространства и безопасности, среди других ценностей. 3
  • Конфиденциальность также продвигает интересы общества в защите маргинализированных или уязвимых лиц или групп, защите основополагающих ценностей демократии и целостности демократических институтов и процессов, включая выборы. 4
  • Соединенные Штаты защищают аспекты конфиденциальности с момента основания Nation. Конституция защищает различные интересы неприкосновенности частной жизни посредством Первой, Третьей, Четвертой, Пятой, Девятой и Четырнадцатой поправок, 5 , а защита частной жизни помогает обеспечить осуществление этих основных гражданских прав и основных свобод всех американцев. 6
  • С того времени Соединенные Штаты стали лидером в области прав на неприкосновенность частной жизни. Он принял некоторые из первых законов о конфиденциальности где-либо, начиная с 18 века, 7 , он породил правовую концепцию «права на неприкосновенность частной жизни» в 19 веке 8 , а в 20 веке он принял один из первые национальные законы о конфиденциальности и защите данных 9 , а также «принципы честной информационной практики», которые повлияли на законы и практику конфиденциальности во всем мире. 10 Соединенные Штаты должны оставаться лидером в защите прав на неприкосновенность частной жизни в 21 веке.
  • Право на неприкосновенность частной жизни широко признано в международно-правовых документах, которые США одобрили, ратифицировали или продвигали. 11

Развитие цифрового информационного общества и экономики
  • На протяжении всей истории страны экономический рост, возможности и лидерство определялись технологическими инновациями.В 20 веке цифровые и коммуникационные технологии и сети стали неотъемлемой частью экономической конкурентоспособности, социальных и политических дискуссий, а также потока информации, идей и инноваций в Соединенных Штатах и ​​во всем мире. 12
  • Распространение компьютеров, подключения к Интернету, мобильных телефонов и других цифровых информационных и коммуникационных технологий увеличило риски для частной жизни людей, которые могут возникнуть в результате сбора, обработки, хранения или распространения личной информации. 13
  • Подключение к цифровой сети стало необходимым для полноценного участия в современной жизни.
  • По состоянию на 2019 год более 90 процентов американцев обладают мобильными телефонами и примерно 80 процентов - смартфонами, оснащенными мощными компьютерами, огромной емкостью памяти, массивами датчиков и возможностью мгновенной передачи информации по всему миру. 14 Многие люди постоянно используют эти устройства и хранят на них цифровые записи почти всех аспектов своей жизни. 15
  • У все большего числа людей есть интеллектуальные потребительские устройства, такие как автомобили, телевизоры, бытовая техника и носимые аксессуары, которые собирают, обрабатывают и передают информацию, связанную с этими людьми и их деятельностью.
  • В дополнение к этим личным устройствам, все большее количество взаимосвязанных датчиков в общественных местах собирают, обрабатывают и передают личную информацию, связанную или связанную с людьми, часто без их ведома или контроля.Число таких устройств, вероятно, будет расти быстрее с расширением развертывания интеллектуальной общественной и частной инфраструктуры и систем, а также с развитием сетевых технологий.
  • Эти повсеместные и постоянно подключенные устройства резко увеличили объем и разнообразие личной информации, собираемой, хранящейся и анализируемой широким кругом организаций. Такая информация часто доступна не только поставщикам услуг, с которыми затронутые лица имеют определенные отношения, но также сетям поставщиков приложений, веб-сайтам, рекламодателям, брокерам данных и дополнительным сторонам, которые могут собирать, обрабатывать и передавать информацию для цели, которые могут быть неожиданными и не связанными с причиной, по которой эта информация была первоначально предоставлена ​​или собрана.
  • Агрегирование личной информации из множества различных источников в этих сетях, в сочетании с растущей мощью науки о данных, позволяет широкому кругу субъектов устанавливать связи, делать выводы или прогнозы в отношении людей с уровнями власти и детализации, намного превосходящими те, которые были связаны между собой. к этой информации разумно знать или ожидать. Сюда входит возможность связывать информацию с конкретными людьми даже при отсутствии явной идентифицирующей информации и делать выводы о лицах, которые чувствительны к разумному человеку.

Влияние информационных технологий на людей
  • Опросы показывают, что большинство людей не читают и не понимают опубликованные политики конфиденциальности. 16
  • Даже если они это сделают, возросшая скорость, сложность и непрозрачность сбора, агрегирования и использования данных сделали индивидуальный контроль или согласие бесполезным занятием.
  • Многочисленные исследования отношения потребителей к конфиденциальности и безопасности также указывают на то, что большинство американцев не уверены в том, что промышленность может обрабатывать личную информацию и обеспечивать ее безопасность, а также полагает, что им не хватает контроля и знания собранной о них информации. 17
  • Некоторое использование личной информации в рекламе и маркетинге приносит пользу предприятиям и потребителям за счет распространения информации о продуктах, услугах и общественных проблемах; поддержка доставки новостей и другого контента; и предоставление бесплатных услуг. Однако увеличение точного нацеливания на отдельных лиц и автоматизированный обмен рекламой позволили обмениваться личной информацией для рекламы, которая может быть нежелательной, навязчивой, манипулятивной, дискриминационной или несправедливой.
  • С развитием искусственного интеллекта и машинного обучения возможности использования личной информации способами, воспроизводящими существующие социальные предубеждения, увеличились в масштабах. Алгоритмы используют личную информацию для принятия решений, связанных с критическими проблемами, такими как определение кредита, реклама жилья и процессы найма, и могут приводить к разным показателям точности среди демографических групп. 18 Такие результаты могут нарушать федеральные законы и законы штата о борьбе с дискриминацией или привести к ограничению возможностей для членов некоторых групп.Охватываемые организации, которые используют эти алгоритмы, должны нести ответственность за демонстрацию того, что алгоритмы не вызывают дискриминационных эффектов.
  • Большинство американцев испытали потерю связанной с ними личной информации из-за утечки данных, имевшей место на многих предприятиях и в учреждениях. 19 Личная информация все чаще становится целью злоумышленников, включая национальные государства и организованных преступников в любой точке мира.
  • Агрегирование растущих объемов данных между множеством различных объектов расширяет поверхность атаки, доступную для злоумышленников в киберпространстве, и доступность личной информации для таких субъектов.
  • Риск причинения вреда от нарушения конфиденциальности значительный. Нежелательное или неожиданное раскрытие личной информации и потеря конфиденциальности могут иметь разрушительные последствия для людей, включая финансовое мошенничество и убытки, кражу личных данных и, как следствие, потерю личного времени и денег, разрушение собственности, домогательства и даже потенциальные телесные повреждения. 20 Другие эффекты, такие как репутационный или эмоциональный ущерб, могут быть столь же или даже более существенными.
  • Люди должны быть уверены в том, что относящиеся к ним данные не будут использоваться или передаваться таким образом, чтобы нанести вред им самим, их семьям или обществу. 21
  • Как и все формы торговли, доверие является важным элементом для широкого использования потребителями и принятия товаров и услуг, предлагаемых в цифровой экономике, а растущее недоверие к онлайн-услугам наносит ущерб межгосударственной и внешней торговле Соединенных Штатов. 22 Доверие также важно для социального и политического дискурса, а растущее недоверие к онлайн-коммуникациям подрывает американскую демократию и общество.

Необходимость федерального законодательства о конфиденциальности
  • По мере того, как предприятия используют технологии для сбора, хранения и обработки все большего объема личной информации, законы и постановления, защищающие частную жизнь, должны идти в ногу с тем, чтобы защищать пользователей и предприятия и поддерживать цифровую экономику и общество страны.
  • Действующие законы и постановления, регулирующие использование личной информации, не обеспечивают достаточной защиты частной жизни, поскольку они не охватывают многие новые и расширяющиеся типы информации и способы использования такой информации.
  • Кроме того, они в значительной степени полагаются на «уведомление и выбор» для физических лиц. Это возлагает бремя защиты конфиденциальности на отдельных лиц, а не на компании, которые используют и собирают данные, и позволяет компаниям устанавливать границы того, какую информацию они собирают и как они используют или делятся ею, с небольшим осмысленным пониманием со стороны лица, данные которых собираются.
  • Субъекты, которые собирают, используют, обрабатывают и передают личную информацию, должны подчиняться значимым и эффективным ограничениям на такую ​​деятельность. Они должны быть обязаны принимать разумные меры для защиты конфиденциальности и безопасности личной информации, а также действовать лояльно и осторожно по отношению к лицам, имеющим отношение к такой информации или имеющим к ней отношение. 23
  • Риск и вред, связанный с конфиденциальностью, должны быть снижены и устранены заранее, потому что в цифровую эпоху ущерб, связанный с данными, часто бывает непредвиденным и почти мгновенно усугубляется.Утечка информации обычно не может быть устранена, и зачастую жертвам неприкосновенности частной жизни трудно полностью избавиться от нее.
  • Существует потребность в национальном решении, гарантирующем, что организации, которые собирают, обрабатывают и передают личную информацию, делают это таким образом, чтобы уважать интересы конфиденциальности лиц, связанных или связанных с этой информацией, и не причинять вреда этим лицам или их семьям. и сообщества. 24
  • В
  • штатах есть множество различных законов и судебной практики, касающихся неприкосновенности частной жизни их граждан.Надежный и всеобъемлющий федеральный закон о конфиденциальности гарантирует, что все американцы будут пользоваться одинаковыми средствами защиты конфиденциальности независимо от того, где они живут, и могут полагаться на организации, с которыми они имеют дело, для последовательной обработки личной информации независимо от того, где эти организации находятся.
  • Потребность в последовательной защите конфиденциальности на федеральном уровне усугубляется межгосударственным и глобальным характером информационной экономики, в которой немногие онлайн-продукты и услуги предназначены для конкретных штатов.Вместо этого многие такие услуги предлагаются пользователям в любой точке США (а часто и по всему миру), у которых есть доступ к Интернету. 25 Последовательная федеральная защита конфиденциальности облегчит вход и конкуренцию в торговле между штатами для миллионов малых предприятий, для которых соблюдение законов нескольких штатов может создать препятствия для входа.
  • Последовательные и надежные методы защиты данных повысят конфиденциальность отдельных лиц, а также коллективную безопасность U.С. Информационно-коммуникационные сети.
  • Законы о конфиденциальности должны подкрепляться сильными правоохранительными органами и инструментами. Для обеспечения такого правоприменения Федеральная торговая комиссия нуждается в адекватных ресурсах и юридических полномочиях, по крайней мере, наравне с другими ведущими регуляторами конфиденциальности, усиленными уполномоченными государственными чиновниками. 26
  • Физические лица должны обращаться в федеральные суды за нанесением ущерба частной жизни, который обычно подлежит компенсации в соответствии с существующими законами, включая законы о борьбе с дискриминацией, а также за нарушения федерального закона о конфиденциальности, причиняющие «реальный» ущерб.
  • Технологии будут продолжать развиваться и меняться. Поэтому любые новые законы о конфиденциальности должны быть гибкими и нейтральными с точки зрения технологий, чтобы их защита могла применяться не только к технологиям и продуктам сегодняшнего дня, но и к продуктам завтрашнего дня.
  • Всесторонний федеральный закон о конфиденциальности позволит Соединенным Штатам предпринять шаги для обеспечения надлежащей защиты частной жизни американцев на международном уровне, одновременно увеличивая поток информации и способствуя большему доверию к американской торговле за рубежом.

«Любые новые законы о конфиденциальности должны быть гибкими и нейтральными с точки зрения технологий, чтобы их защита могла применяться не только к технологиям и продуктам сегодня, но и к будущим».

ПРЕДЛАГАЕМЫЕ ПОЛИТИКИ
  • Чтобы защитить частную жизнь людей, Конгрессу необходимо и уместно регулировать сбор, использование, обработку и обмен личной информацией. 27
  • Существует убедительный национальный интерес в обеспечении значимых и эффективных границ для сбора, использования, хранения и обмена личной информацией, чтобы все лица, связанные или имеющие связь с такой информацией, имели основание полагать, что такая информация будет обрабатываться в соответствии с их конфиденциальность и другие интересы.
  • Существует убедительный национальный интерес в расширении прав и возможностей людей посредством значимых и эффективных прав в отношении личной информации, связанной с ними, чтобы те люди, которые хотят, могли гарантировать, что эта информация используется и передается таким образом, который согласуется с их конфиденциальностью и другими интересами.
  • Политика США заключается в обеспечении последовательного национального подхода к сбору, обработке, хранению и обмену личной информацией, а также в сохранении существующей структуры государственного и местного статутного и общего права, защищающего конфиденциальность в той мере, в какой это возможно. не препятствует полноценному действию федерального закона.
  • Политика США состоит в том, чтобы предоставить людям эффективные средства правовой защиты от ущерба частной жизни, будь то ущерб финансового, физического, репутационного, эмоционального или иного характера; и гарантировать, что исключительное федеральное средство правовой защиты от нарушения прав на неприкосновенность частной жизни защищает интересы, которые уже давно защищены другими законами о конфиденциальности.
  • Политика США заключается в том, чтобы средства защиты конфиденциальности пользователей оставались актуальными и продолжали развиваться по мере развития технологий, инноваций и услуг, а также рисков для конфиденциальности.

Брукингский институт - некоммерческая организация, занимающаяся независимыми исследованиями и политическими решениями. Его миссия - проводить качественные независимые исследования и на основе этих исследований предоставлять инновационные практические рекомендации для политиков и общественности. Выводы и рекомендации любой публикации Brookings принадлежат исключительно ее авторам и не отражают точку зрения Учреждения, его руководства или других ученых.

Brookings осознает, что ценность, которую он предоставляет, заключается в его абсолютной приверженности качеству, независимости и влиянию. Мероприятия, поддерживаемые его донорами, отражают это обязательство.

Гибсон Данн | Китай ограничивает обмен корпоративными и личными данными внутри страны посредством нового законодательства

17 июня 2021 г.

Нажмите, чтобы открыть PDF

Китайская Народная Республика ограничивает извлечение корпоративных и личных данных, связанных с судебными разбирательствами и расследованиями, из Китая, и это может затруднить получение тяжущихся сторон и субъектов расследования в будущем.В соответствии с новым законом о безопасности данных, принятым в конце прошлой недели, и предстоящим законом о защите личной информации Китай намерен ограничить обмен широкими массами личных и корпоративных данных за пределами своих границ. Оба закона потребуют от компаний получить одобрение еще не идентифицированного подразделения правительства Китая, прежде чем предоставлять данные некитайским судебным или правоохранительным органам. Как подробно описано ниже, эти законы могут иметь далеко идущие последствия для компаний и частных лиц, стремящихся предоставить данные иностранным судам или правоохранительным органам в контексте правительственных расследований или судебных разбирательств, и, по всей видимости, расширяют ограничения на передачу данных, установленные в других недавних китайских законах. .[1]

Закон Китайской Народной Республики о безопасности данных

10 июня 2021 года Всекитайское собрание народных представителей приняло Закон о безопасности данных, который вступит в силу 1 сентября 2021 года. Закон содержит широкие требования и суровые наказания за нарушения. Он регулирует не только обработку и управление данными внутри Китая, но и за пределами Китая, которые «наносят ущерб национальной безопасности, общественным интересам или законным интересам граждан и организаций [Китая].”[2]

Закон о безопасности данных обычно требует от юридических и физических лиц, действующих в Китае, внедрять системы, предназначенные для защиты данных внутри страны. Например, организации, которые обрабатывают «важные» данные - термин, еще не определенный в законе, - должны назначить персонал, ответственный за безопасность данных, и проводить оценки для мониторинга потенциальных рисков [3]. Китайские власти могут наложить штрафы до 500 000 юаней (примерно 78 000 долларов США) и потребовать корректирующих действий, если организация не выполняет эти требования.[4] Если организация не принимает необходимых корректирующих мер после получения предупреждения и / или ее неспособность внедрить адекватные меры контроля приводит к крупномасштабной утечке данных, на нее может быть наложен штраф в размере до 2 миллионов юаней (приблизительно 313000 долларов). В этих обстоятельствах власти также могут отозвать бизнес-лицензии организации-нарушителя и наложить штрафы на ответственных лиц [5].

Закон о безопасности данных также гласит, что «нарушение национальной системы управления основными данными или угроза национальному суверенитету, безопасности и интересам развития Китая» карается дополнительным штрафом до 10 миллионов юаней (примерно 1 доллар США.56 миллионов), приостановление деятельности, отзыв бизнес-лицензий и, в особо тяжелых случаях, уголовная ответственность [6]. В Законе о безопасности данных в широком смысле слова «основные данные» определяются как «данные, относящиеся к национальной безопасности, национальной экономике, благосостоянию людей и основным общественным интересам» [7]

.

В частности, статья 36 Закона о безопасности данных запрещает «предоставлять данные, хранящиеся в Китайской Народной Республике, иностранным судебным или правоохранительным органам без разрешения компетентного органа Китайской Народной Республики.[8] Закон не определяет «компетентный орган» и не описывает процесс утверждения. Неполучение этого предварительного разрешения может повлечь за собой наложение штрафа в размере до 1 000 000 юаней (приблизительно 156 000 долларов США), а также дополнительных штрафов для ответственных лиц [9]. Хотя в Законе о безопасности данных обсуждаются различные категории охватываемых данных в другом месте законодательного текста - например, со ссылкой на «основные данные», описанные выше [10], - статья 36 в том виде, в каком она написана, по-видимому, применима к передаче любых данные, независимо от предмета и секретности, при условии, что они хранятся в Китае.Окончательный текст закона также включает дополнительные, более суровые наказания за серьезные нарушения, которые не были включены в предыдущие проекты, в том числе штраф в размере до 5 миллионов юаней (примерно 780 000 долларов США), приостановление деловых операций, отзыв бизнес-лицензий, а также увеличение штрафы для ответственных лиц. Однако статут не определяет, какие нарушения будут считаться «серьезными».

Хотя юридическое сообщество в Китае и за его пределами обязательно обратится за дополнительными указаниями к китайскому правительству, неясно, выпустит ли китайское правительство имплементационные постановления или другие руководящие материалы до 1 сентября 2021 года, когда закон вступит в силу.Для справки: с момента принятия закона в 2018 году китайское правительство не выпустило дополнительных указаний по Закону о международной уголовной судебной помощи, который запрещает, среди прочего, несанкционированное сотрудничество широкого характера с иностранными уголовными властями. Учитывая, что безопасность и конфиденциальность данных являются одними из приоритетных направлений Пекина, вполне возможно, что китайское правительство выпустит нормативные акты, нормативное толкование или руководство, чтобы прояснить некоторые ключевые требования в Законе о безопасности данных.

Закон Китайской Народной Республики о защите личной информации

29 апреля 2021 года Китай выпустил второй проект своего Закона о защите личной информации, который направлен на создание правовой базы, аналогичной Общим правилам защиты данных Европейского Союза («GDPR»). Проект Закона о защите личной информации, если он будет принят, будет применяться к «объектам обработки личной информации (« PIPE »)», определяемым как «организация или физическое лицо, которые независимо определяют цели и средства обработки личной информации.»[11] В проекте Закона о защите личной информации обработка определяется как« сбор, хранение, использование, уточнение, передача, предоставление или публичное раскрытие личной информации ». [12] В проекте Закона о защите личной информации также определяется« личная информация ». в широком смысле как «различные типы электронной или иным образом записанной информации, относящейся к идентифицированному или идентифицируемому физическому лицу», но исключает анонимную информацию. [13]

Проект Закона о защите личной информации требует, чтобы компании PIPE, обрабатывающие определенные объемы личных данных, принимали меры защиты, такие как назначение сотрудника по защите личной информации, ответственного за надзор за обработкой соответствующих данных.[14] ТРУБЫ также должны будут проводить оценку рисков до обработки определенной личной информации и проводить регулярные аудиты. [15]

В соответствии со статьей 38 проекта Закона о защите личной информации Администрация киберпространства Китая («CAC») предоставит стандартный контракт для PIPE, чтобы ссылаться на него при заключении контрактов с получателями данных за пределами Китая. Проект Закона о защите личной информации предусматривает, что PIPE могут передавать личную информацию за границу только в том случае, если PIPE: (1) проходит оценку безопасности, проводимую CAC; (2) получает сертификат профессиональных организаций в соответствии с правилами CAC; (3) заключает соглашение о передаче с получателем, используя стандартный договор, опубликованный CAC; или (4) соблюдает другие условия, установленные законом, административными постановлениями или CAC.[16] Как и в Законе о безопасности данных, в проекте Закона о защите личной информации это требование не уточняется, в том числе, какие типы сертификатов удовлетворяют требованиям статьи 38 или какие «другие условия установлены законом, административными постановлениями или CAC. »Повлекут за собой.

Подобно статье 36 Закона о безопасности данных, статья 41 проекта Закона о защите личной информации запрещает предоставление личных данных судебным или правоохранительным органам за пределами Китая без предварительного разрешения компетентных органов Китая.[17] Однако, как и в случае с Законом о безопасности данных, ни «компетентный орган Китая», ни процесс утверждения не определены.

Проект Закона о защите личной информации не содержит штрафов, конкретно связанных со статьей 41, но содержит общие положения о наказаниях в статье 65, которые включают конфискацию незаконных доходов и базовый штраф в размере до 1 миллиона юаней (примерно 156000 долларов США) за компаний и от 10 000 до 100 000 юаней (приблизительно от 15 600 до 156 000 долларов США) для ответственных лиц.[18] «Серьезные нарушения», которые не определены в уставе, могут караться штрафом в размере до 50 миллионов юаней (примерно 7,8 миллиона долларов) или до пяти процентов годового дохода компании за предыдущий финансовый год, а также штрафы в размере от 100 000 до 1 миллиона юаней (примерно от 156 000 до 1,56 миллиона долларов) для ответственных лиц. Кроме того, компании, нарушившие Закон о защите личной информации, могут быть лишены разрешения на ведение бизнеса или полностью приостановлены.

Закон о безопасности данных и Закон о защите личной информации в контексте

Закон о безопасности данных и, если он будет принят, Закон о защите личной информации добавят к растущему списку китайских законов, ограничивающих предоставление данных иностранным правительствам. Например:

  • Закон о международной судебной помощи в уголовных делах запрещает юридическим и физическим лицам в Китае предоставлять иностранным правоохранительным органам доказательства, материалы или помощь в связи с уголовными делами без согласия правительства Китая.[19]
  • Статья 177 китайского Закона о ценных бумагах (редакция 2019 г.) запрещает «иностранным регулирующим органам напрямую проводить расследования и сбор доказательств» в Китае и ограничивает китайские компании от передачи документов, связанных с их деятельностью с ценными бумагами, за пределы Китая, если они не получат предварительного разрешения от Комиссия по регулированию ценных бумаг Китая.
  • Недавно опубликованный проект поправки к китайскому Закону о борьбе с отмыванием денег содержит требования о раскрытии и предварительном одобрении для китайских компаний, отвечающих на запросы данных от иностранных регулирующих органов.
  • Как ранее сообщал Гибсон Данн, Правила о противодействии неоправданному экстерриториальному применению иностранного законодательства и других мер , выпущенные Министерством торговли КНР в январе 2021 года, устанавливают механизм, позволяющий правительству обозначать конкретные иностранные законы как « необоснованные экстерриториальные заявки », и впоследствии наложить запрет на соблюдение этих иностранных законов.

Однако Закон о безопасности данных и проект Закона о защите личной информации, по-видимому, превосходят эти предыдущие запреты в нескольких ключевых отношениях.В отличие от Закона о международной судебной помощи в уголовных делах, например, Закон о безопасности данных и проект Закона о защите личной информации не требуют предоставления данных в контексте уголовного расследования для применения запретов на передачу. Новые ограничения якобы применяются к передаче данных в связи с гражданскими правонарушениями или расследованиями, например, проводимыми Комиссией по ценным бумагам и биржам США. (Они также могут создать еще одно препятствие для предоставления аудиторскими рабочими документами китайскими бухгалтерскими фирмами в SEC и Совет по надзору за бухгалтерским учетом публичных компаний.) Как написано, запреты Закона о безопасности данных и проекта Закона о защите личной информации также будут применяться к китайским сторонам в гражданских тяжбах в иностранных судах, которым может потребоваться представить доказательства в связи с текущими делами. Фактически, нынешняя формулировка может быть прочитана так, чтобы запретить иностранным гражданам, проживающим в Китае, предоставлять информацию о себе своим собственным государственным регулирующим органам, если данные «хранятся в Китае». Закон о безопасности данных не объясняет, когда данные «хранятся в Китае» или как действовать в потенциальных сценариях, в которых юридические или физические лица могут иметь юридическое обязательство предоставлять информацию иностранным судебным или правоохранительным органам.

Закон о безопасности данных, проект закона о защите личной информации и ранее принятые законы, ограничивающие передачу данных, создают большую неопределенность для компаний, работающих в Китае. Поскольку в этих законах не оговаривается процесс получения государственных разрешений, критерии утверждения или ответственное государственное учреждение, компаниям становится все труднее определять, как реагировать на требования иностранных регулирующих органов о предоставлении данных, которые могут храниться в Китае. , проводить внутренние расследования в Китае в контексте текущих правоприменительных мер или расследования, проводимого иностранным правительством, или соблюдать обязательства по раскрытию информации и сотрудничеству в соответствии с различными формами мировых соглашений с иностранными властями, такими как соглашения об отсрочке судебного преследования.Компании, которые рассматривают возможность самостоятельного сообщения о потенциальных нарушениях законодательства в Китае своим иностранным регулирующим органам, а также сотрудничают в проведении последующих расследований, проводимых этими регулирующими органами, также должны будут рассмотреть вопрос о том, хранились ли ранее какие-либо соответствующие данные в Китае, и если да, разрешено ли им передавать такие данные иностранным властям без одобрения китайских властей. Новый устав также вызывает озабоченность у организаций, оказывающих профессиональные услуги, таких как юридические фирмы, бухгалтерские и судебно-медицинские фирмы, судебные эксперты и другие, чей рабочий продукт может отражать данные, которые «хранились в Китае».«Новые законы не разъясняют, как они могут применяться к рабочему продукту, который просто основан на, отражает или включает данные, хранящиеся в Китае, и должны ли фирмы, предоставляющие профессиональные услуги, получать одобрение от соответствующих китайских властей, прежде чем делиться таким рабочим продуктом за рубежом. в судебном порядке или в правоохранительных органах.

Gibson Dunn будет продолжать внимательно следить за этими событиями, как и компании, работающие в Китае, чтобы минимизировать риски, связанные с попаданием в тиски несовместимых юридических обязательств.

________________________

[1] Обратите внимание, что обсуждение китайского законодательства в этой публикации носит только рекомендательный характер.

[2] Закон о безопасности данных, ст. 1 и 2.

[3] Закон о безопасности данных, ст. 27, 29, 30.

[4] Закон о безопасности данных, ст. 45

[5] Закон о безопасности данных, ст. 45.

[6] Закон о безопасности данных, ст. 45.

[7] Закон о безопасности данных, ст. 21.

[8] Закон о безопасности данных, ст.36.

[9] Закон о безопасности данных, ст. 48.

[10] Закон о безопасности данных, ст. 21.

[11] Проект Закона о защите личной информации Ст. 4, 72.

[12] Проект Закона о защите личной информации, ст. 4.

[13] Там же.

[14] Проект Закона о защите личной информации, ст. 52.

[15] Проект Закона о защите личной информации, ст. 54, 55.

[16] Проект Закона о защите личной информации, ст.38

[17] Проект Закона о защите личной информации, ст. 41.

[18] Проект Закона о защите личной информации, ст. 65.

[19] Закон о международной помощи в уголовном судопроизводстве, ст. 4.


Следующие юристы Гибсон Данн помогали в подготовке этого обновления для клиента: Патрик Ф. Стоукс, Оливер Уэлч, Николь Ли, Нин Нин, Келли С. Остин, Джудит Элисон Ли, Адам М. Смит, Джон Д.У. Партридж, Ф. Джозеф Варин, Джоэл М. Коэн, Райан Т. Бергсикер, Стефани Брукер, Джон В.Ф. Чесли, Коннелл О’Нил, Ричард Родер, Майкл Скэнлон, Бенно Шварц, Александр Х. Саутвелл и Майкл Уолтер.

Юристы

Gibson Dunn готовы помочь в решении любых вопросов, которые могут у вас возникнуть в связи с вышеуказанными событиями. Пожалуйста, свяжитесь с юристом Гибсона Данна, с которым вы обычно работаете, с авторами или с любым из следующих руководителей и членов групп практики по борьбе с коррупцией и FCPA, защите и расследованию белых воротничков, международной торговле и конфиденциальности, кибербезопасности и инновациям в данных. :

Азия:
Келли Остин - Гонконг (+852 2214 3788, kaustin @ gibsondunn.com)
Коннелл О’Нил - Гонконг (+852 2214 3812, [email protected])
Оливер Д. Велч - Гонконг (+852 2214 3716, [email protected])

Европа:
Бенно Шварц - Мюнхен (+49 89 189 33 110, [email protected])
Майкл Вальтер - Мюнхен (+49 89 189 33-180, [email protected])
Ричард В. Рёдер - Мюнхен (+49 89 189 33-160, [email protected])

США:
Джудит Элисон Ли - Вашингтон, округ Колумбия(+1 202-887-3591, [email protected])
Райан Т. Бергсикер - Денвер (+1 303-298-5774, [email protected])
Стефани Брукер - Вашингтон, округ Колумбия (+1 202-887 -3502, [email protected])
Джон В.Ф. Чесли - Вашингтон, округ Колумбия (+1 202-887-3788, [email protected])
Джоэл М. Коэн - Нью-Йорк (+1 212-351-2664, [email protected])
Джон Д.У. Партридж - Денвер (+1 303-298-5931, [email protected])
Майкл Дж. Скэнлон - Вашингтон, округ Колумбия (+1 202-887-3668, mscanlon @ gibsondunn.com)
Адам М. Смит - Вашингтон, округ Колумбия (+1 202-887-3547, [email protected])
Александр Х. Саутвелл - Нью-Йорк (+1 212-351-3981, [email protected])
Патрик Ф. Стоукс - Вашингтон, округ Колумбия (+1 202-955-8504, [email protected])
Ф. Джозеф Варин - Вашингтон, округ Колумбия (+1 202-887-3609, [email protected])

© 2021 Gibson, Dunn & Crutcher LLP

Реклама адвоката: Прилагаемые материалы были подготовлены только для общих информационных целей и не предназначены для использования в качестве юридической консультации.

сравнений | Глобальные практические руководства

Согласно Закону, «конфиденциальные данные» означают личные данные, которые относятся к физическим или моральным характеристикам людей или к фактам или обстоятельствам их частной или интимной жизни, таким как личные привычки, расовое происхождение, идеологии и политические взгляды, убеждения или религиозные убеждения, условия физического или психического здоровья и половой жизни.

Финансовые данные

Нет определения финансовых данных, хотя есть некоторые правила, касающиеся финансовых данных.Если финансовые данные могут рассматриваться как личные данные, авторизация не потребуется, если данные поступают или собираются из источников, доступных для общественности. Финансовые данные не могут быть обработаны в следующих случаях:

  • пять или более лет с момента исполнения соответствующего обязательства;
  • в случае долгов, возникших в период безработицы;
  • в случае данных, касающихся обязательств, которые были оплачены или погашены иным законным способом; и
  • в случае долгов, связанных с электричеством, водой, телефоном, газом и дорогами.

Данные о здоровье

Данные о здоровье считаются конфиденциальными. Он может не подлежать обработке, если субъект данных не санкционирует это, или это необходимо для определения или предоставления льгот для здоровья.

Коммуникационные данные

В настоящее время в Законе нет определения коммуникационных данных. Однако в Чили существует конституционная защита неприкосновенности частной информации.

Голосовая телефония и обмен текстовыми сообщениями

В настоящее время в Законе нет определения голосовой телефонии и обмена текстовыми сообщениями.Тем не менее, поставщики, которые направляют рекламные или маркетинговые сообщения потребителям по почте, факсу, телефонным звонкам или службам обмена сообщениями, должны указать ускоренный способ, которым адресаты могут потребовать приостановления их действия.

Содержание электронных сообщений

В настоящее время в Законе нет определения электронных сообщений. Однако в Чили существует конституционная защита неприкосновенности частной информации.

Прочие вопросы

В настоящее время в Законе нет определения данных о детях или учащихся.К таким данным применяются общие правила закона.

В настоящее время в Законе нет определения данных о занятости. К таким данным применяются общие правила закона.

Проблемы с Интернетом, потоковой передачей и видео

Просмотр и просмотр данных не регулируется чилийским законодательством. Если файлы cookie собирают персональные данные, это может считаться обработкой данных, поэтому компаниям, которые размещают файлы cookie, потребуется согласие субъекта данных. Данные о местоположении не регулируются в Чили, хотя закон регулирует такие данные.Технология отслеживания не регулируется в Чили. Однако существует закон, согласно которому страховщики при оформлении полиса страхования автотранспортных средств включают без дополнительной оплаты доставку устройств GPS, которые будут устанавливаться и активироваться исключительно владельцем транспортного средства.

Разжигание вражды

Разжигание вражды в Чили в определенной степени регулируется. Статья 31 Закона № 19,733 о свободе мнений и информации и о журналистских занятиях налагает штраф на всех, кто с помощью любых средств социальной коммуникации разжигает ненависть или враждебность по отношению к людям по признаку их расы, пола, религии или национальности.

Права субъектов данных

Закон предоставляет субъектам данных различные права.

Право доступа

Субъекты данных имеют право требовать информацию о хранящихся данных о себе, их происхождении и адресате, цели хранения и личности лиц или агентств, которым их данные регулярно передаются . Несмотря на вышесказанное, никакая информация не может быть запрошена, если она препятствует или препятствует надлежащему соблюдению надзорных функций государственного агентства или если она влияет на конфиденциальность или секретность, установленную в правовых или нормативных положениях, безопасность нации или национальные интересы.

Право на изменение

Если личные данные ошибочны, неточны, двусмысленны или неполны, и эта ситуация была подтверждена, субъект имеет право на изменение.

Право на блокировку

Субъект данных может запросить блокировку личных данных, когда это лицо добровольно предоставило свои личные данные или они используются для коммерческих коммуникаций, и субъект не хочет продолжать появляться в соответствующих реестр, окончательно или временно.

Право на аннулирование или удаление

Несмотря на юридические исключения, субъект может также потребовать удаления данных, если для их хранения нет законных оснований или эти основания истекли, когда субъект добровольно предоставил свои личные данные, это используется для коммерческих сообщений, или они не хотят, чтобы он продолжал отображаться в соответствующем реестре, окончательно или временно.

Право на свободное копирование

Изменение или удаление личных данных должно быть абсолютно бесплатным, и копия соответствующей части реестра, которая была изменена, также должна быть предоставлена ​​по запросу субъекта.В случае внесения новых изменений или удаления данных субъект может получить копию обновленного реестра бесплатно, если с момента последнего использования им этого права прошло не менее шести месяцев.

Право на возражение

Субъект может возражать против использования своих личных данных в целях рекламы, маркетинговых исследований или опросов общественного мнения.

Право на забвение (или удаление или стирание)

В Законе нет юридического признания права на забвение.

Доступ к данным и переносимость

Законопроект включает право на переносимость данных, в соответствии с которым субъект данных может запросить и получить от контроллера данных копию своих личных данных и передать или передать ее другому контроллеру данных.

Реформирование подхода США к защите данных и конфиденциальности

Введение

Половина всех американцев считает, что их личная информация сейчас менее защищена, чем это было пять лет назад, и отрезвляющее исследование исследовательского центра Pew Research Center показывает, насколько мало общественность верит в организации, правительственные или частные, для защиты своих данных. - и не без оснований.В 2017 году произошла катастрофическая утечка в Equifax, признание Yahoo того, что миллиарды ее учетных записей электронной почты были скомпрометированы, случайная утечка Deep Root Analytics личных данных почти двухсот миллионов американских избирателей и попытка Uber скрыть нарушение, затронувшее пятьдесят миллионов человек. семь миллионов аккаунтов. Люди не понимают, какие действия они могут предпринять, если таковые имеются, для защиты своих цифровых активов и личности.

Тем не менее, рекордные утечки данных и неадекватные методы защиты данных привели лишь к частичным законодательным ответам на федеральном уровне, конкурирующим законам штатов и множеству режимов правоприменения.В большинстве западных стран уже приняты комплексные меры правовой защиты личных данных, но Соединенные Штаты, где находятся одни из самых передовых и крупнейших в мире компаний, занимающихся технологиями и данными, по-прежнему неуклонно внедряют лоскутное одеяло из отраслевых законов и правила, которые не обеспечивают адекватной защиты данных. Граждане и компании США страдают от такого неравномерного подхода: граждане из-за того, что их данные не защищены должным образом, а компании из-за того, что они обременены противоречивыми, а иногда и конкурирующими требованиями.Конгрессу пора создать единый законодательный мандат на защиту данных, чтобы защитить частную жизнь людей и согласовать различия между требованиями штата и федеральными требованиями.

Пэчворк существующих защит

Подробнее на:

Соединенные Штаты

Цифровая политика

Компьютерная безопасность

Конфиденциальность

Европейский Союз

В Соединенных Штатах нет единого всеобъемлющего федерального закона, регулирующего сбор и использование личной информации.Вместо этого правительство подошло к вопросу конфиденциальности и безопасности, регулируя только определенные секторы и типы конфиденциальной информации (например, здравоохранение и финансы), создавая дублирующие и противоречивые меры защиты.

Правила, регулирующие информацию о здоровье, иллюстрируют эту проблему. Закон о переносимости и подотчетности в медицинском страховании (HIPAA), основной закон США о конфиденциальности и безопасности в области здравоохранения, применяется только к «застрахованным организациям», владеющим «защищенной медицинской информацией». Федеральные регулирующие органы признают [PDF], что большинство американцев не понимают, когда их медицинская информация защищена законом, а когда нет, и какие стандарты безопасности применяются в любом случае.Отдельные законы о конфиденциальности регулируют определенные области системы здравоохранения США [PDF]: иммунизация учащихся и другие школьные медицинские записи обычно подпадают под действие Закона о правах семьи на образование и неприкосновенность частной жизни (FERPA), который был принят в 1974 году, когда записи об учащихся существовали в физические картотеки, а не цифровые облака. FERPA, в свою очередь, пересекается, а иногда и конфликтует с Законом о защите конфиденциальности детей в Интернете (COPPA), который защищает данные, но только детей в возрасте до тринадцати лет.

Широко распространенный сбор личной информации ставит под угрозу конфиденциальность и безопасность [людей].

Законы штата добавляют к этому лоскутному одеялу, особенно в отношении утечки данных. Многие штаты признают, что широко распространенный сбор личной информации [PDF] ставит под угрозу конфиденциальность и безопасность их жителей. Начиная с Калифорнии, которая приняла первый закон об уведомлении об утечке данных в 2003 году, в 48 штатах были приняты законы, требующие уведомления отдельных лиц в случае компрометации их информации.Эти законы содержат разные, а иногда и несовместимые положения относительно того, какие категории и типы личной информации требуют защиты, какие субъекты охвачены и даже что является нарушением. Требования к уведомлению также различаются: в штате Нью-Джерси требуется уведомить подразделение полиции штата по борьбе с киберпреступностью, в то время как в штате Мэриленд необходимо уведомить генерального прокурора штата до того, как об этом будет уведомлено любое пострадавшее лицо.

Применение этих законов также затруднено. Хотя генеральные прокуроры штата должны сыграть важную роль, Федеральная торговая комиссия (FTC) считает себя «главным полицейским в вопросах конфиденциальности.«FTC имеет общие полномочия запрещать« недобросовестную и обманчивую торговую практику »в соответствии с разделом 5 Закона о FTC и пытается установить базовый уровень безопасности данных с помощью более шестидесяти различных принудительных мер. Однако компании начали агрессивно противодействовать законным полномочиям FTC в отношении полицейских методов защиты данных, а FTC имеет ограниченную юрисдикцию над банками, страховыми компаниями, некоммерческими организациями и даже некоторыми поставщиками интернет-услуг.

Проблема предотвращения утечек данных и реагирования на них

Опытные профессионалы в области безопасности сообщают даже самым искушенным организациям, что в конечном итоге они столкнутся с нарушением безопасности.Даже организации с несколькими уровнями цифровой и физической безопасности уязвимы для постоянных угроз коммерческого и государственного вторжения, а также для неумелых или умышленно злонамеренных инсайдеров. Совершенная безопасность невозможна, а информационные травмы, которые могут возникнуть в результате сбора и (неправильного) использования данных, постоянно развиваются.

Подробнее на:

Соединенные Штаты

Цифровая политика

Компьютерная безопасность

Конфиденциальность

Европейский Союз

В результате многие законодатели попытались отреагировать на нарушение Equifax и аналогичные нарушения путем переоценки правил уведомления о нарушении данных.Члены Конгресса вновь вносят предложения по защите от утечки данных, и представители отрасли высказали предположение, что Соединенные Штаты, наконец, достигли «переломного момента», который приведет к созданию единого национального стандарта уведомления о взломе данных.

Законы об уведомлении о нарушениях. . . возложить бремя на лиц, чья информация была скомпрометирована.

Это распространенный рефрен после каждого громкого нарушения, но принятие закона о взломе данных, хотя и сделано из лучших побуждений, скорее всего, не приведет к значительным улучшениям в практике защиты данных.Хотя законы об уведомлении о нарушениях стыдят компании, которые не раскрывают нарушения, они в конечном итоге возлагают бремя на лиц, чья информация была скомпрометирована: им необходимо сохранять постоянную бдительность в отношении кражи личных данных и другого мошенничества, некоторые из которых могут произойти спустя годы после первоначального инцидента. . Устранение противоречивых положений об уведомлении штата на федеральном уровне, одновременно упрощая работу как для потребителя, так и для учреждения, ничего не делает для решения этой проблемы.

Компаниям нужны более четкие правила, а частные лица должны иметь возможность побуждать компании к защите данных.Большинство утечек данных, даже с учетом затрат на раскрытие и реагирование и сопутствующего ущерба репутации, не приводят к значительному финансовому ущербу для компаний. Даже когда в дело вмешиваются такие регулирующие органы, как FTC, вероятность денежного штрафа мала. Необходима более всеобъемлющая правовая база: такая, которая предлагает сочетание стимулов для улучшения практики безопасности, раскрытия информации и индивидуальной защиты.

Предложение по базовой конфиденциальности и безопасности

Экономика двадцать первого века будет подпитываться персональными данными.Но пока не ясно, какие правила будут регулировать эту информацию, кому будет передаваться информация и какие меры защиты будут приняты. Базовый закон о защите данных обеспечит правовую основу для ответа на эти вопросы.

Такое предложение не ново. FTC постоянно призывала [PDF] Конгресс принять гибкие и технологически нейтральные законы о конфиденциальности и безопасности, и почти шесть лет назад администрация Барака Обамы выдвинула проект Билля о правах потребителей, основанный на принципах честной информационной практики (FIPPs). ).FIPP обычно рассматриваются как процессы и процедуры, которые организации должны внедрять; Билль о правах конфиденциальности признает, что отдельные американцы постоянно заинтересованы в том, как информация о них собирается, используется и передается как компаниями, так и государственными учреждениями.

Права, предложенные администрацией Обамы, были широко поддержаны правозащитным сообществом и гражданским обществом. Однако предложение администрации Обамы было неудачным моментом и упущенным импульсом.Очарованная Кремниевой долиной, администрация в значительной степени позволила отрасли разработать свои собственные правила, и законопроект был незаметно выдвинут всего через три года после первоначального предложения. С тех пор методы обработки данных во всех отраслях промышленности продолжали не соответствовать ожиданиям отдельных лиц в области конфиденциальности и безопасности.

Неспособность законодателей предоставить пользователям набор прав на неприкосновенность частной жизни сделала Соединенные Штаты глобальным исключением.

Дональд Дж.Администрация Трампа, похоже, не испытывает особого интереса к технологической политике или правовому регулированию в целом, а продолжающаяся неспособность законодателей предоставить пользователям набор прав на неприкосновенность частной жизни также сделала Соединенные Штаты глобальным исключением. Хотя правовая база США в отношении персональных данных не претерпела существенных изменений за несколько десятилетий, Европейский Союз принял несколько директив по защите данных. С пересмотренным Общим регламентом по защите данных (GDPR) Европейский Союз стал центром глобального диалога о конфиденциальности личных данных.В отличие от законодательства США, законодательство ЕС защищает все личные данные, независимо от того, кто их собирает или как они обрабатываются. Другие страны с развитой экономикой, такие как Канада, Израиль и Япония, перешли к созданию режимов конфиденциальности, которые совместимы с GDPR ЕС, а не с лоскутным подходом Соединенных Штатов. Это ставит американские компании в невыгодное положение во всем мире, поскольку страны с развивающейся экономикой принимают более простые и часто более комплексные подходы в стиле ЕС.

Рекомендации

The U.С. Конгрессу следует присоединиться к другим странам с развитой экономикой в ​​их подходе к защите данных, создав единую комплексную структуру защиты данных. Значимые федеральные законы и постановления должны быть направлены на устранение различий между существующими законными правами и обязанностями на федеральном уровне и уровне штата. Это не только упростило бы соблюдение требований для компаний США, но также укрепило бы и привело Соединенные Штаты в соответствие с появляющимися нормами защиты данных. Конгресс мог бы внедрить эффективный базовый режим конфиденциальности, обладающий по крайней мере следующими четырьмя качествами.

Во-первых, закон должен охватывать все учреждения, а не только технологические компании, рейтинговые агентства и другие узкие сектора экономики. Защита данных - это не только часть корпоративной социальной ответственности в эпоху цифровых технологий, но и институциональный риск, и важная функция соблюдения нормативных требований для любой организации, которая собирает, использует или передает личную информацию или другие потенциально конфиденциальные данные потребителей.

Во-вторых, закон должен согласовать несоответствия и заполнить пробелы, созданные существующим отраслевым подходом.Информация о здоровье является конфиденциальной, независимо от того, вводится ли она в потребительское приложение, генерируется носимым устройством или передается медицинскому работнику. Базовый закон о конфиденциальности мог бы отшлифовать противоречивые требования согласия, права доступа и меры безопасности в отношении медицинской информации, которые существуют, например, между и за пределами HIPAA, FERPA и COPPA.

Стимулы компаний к защите данных должны быть направлены на предотвращение, а не на самобичевание раскрытия информации.

В-третьих, стимулы для компаний к защите данных должны быть направлены на предотвращение, а не на самобичевание раскрытия информации. Раскрытие информации постфактум только помогает юридическим отраслям и отраслям нормативно-правового соответствия, которые возникли после недавних нарушений. К тому времени, как нарушение будет раскрыто, ущерб уже может быть нанесен сотням тысяч, если не миллионам людей. Компании должны предлагать простые в использовании индивидуальные механизмы доступа, исправления и удаления данных пользователей, а также документированные оценки рисков и другие требования соответствия, которые оставляют бумажный след.Когда эти механизмы подкрепляются силой закона, компании получают уведомление о том, что им необходимо уделять приоритетное внимание безопасности данных, что, в свою очередь, дает профессионалам в области конфиденциальности и безопасности и защитникам прав потребителей больше возможностей для продвижения лучшей практики в отрасли. Если Соединенные Штаты введут значительные штрафы за несоблюдение, предусмотренные GDPR Европейского союза, корпоративная практика может быть изменена - не только для крупных технологических компаний, но и для малых и средних предприятий и некоммерческих организаций.

В-четвертых, правовая база США должна признавать и обеспечивать механизмы устранения вреда, причиняемого нарушениями конфиденциальности. Законодатели и суды признают вред нарушений, но определение «вреда частной жизни» следует расширить. Кража личных данных - один из таких видов вреда, но также и неудобства, от которых страдают пострадавшие люди, и их мучительное чувство, что им не хватает контроля над своим «цифровым я». Этот менее поддающийся количественной оценке вред, который является результатом раскрытия битов и байтов личной жизни людей, должен быть признан законом: поскольку глубина этого вреда выясняется и устраняется с течением времени, людям должно быть предоставлено частное право иска для привлечения компаний к ответственности. , а регулирующие органы должны иметь возможность наказывать организации, которые пренебрегают своим долгом нести ответственность за хранение личной информации.Джек Балкин, директор проекта информационного общества Йельской школы права, предложил рассматривать компании как «доверенных лиц информации» и предложил грандиозную сделку, которая расширила бы обязанность заботиться о личной информации в обмен на правовую определенность и безопасную гавань для промышленности. .

Более простой и комплексный подход к индивидуальному цифровому достоинству является оправданным, особенно после прошедшего года, когда количество нарушений и нарушений управления цифровыми технологиями увеличилось. Базовая структура конфиденциальности может гарантировать, что все компании станут ответственными и этичными хранителями данных, приведут Соединенные Штаты в соответствие с мировыми стандартами и лучше защитят данные U.С. граждане.

Этот информационный бюллетень является частью программы политики в области цифровых технологий и киберпространства. Совет по международным отношениям не занимает институциональной позиции по вопросам политики и не связан с правительством США. Автор или авторы несут полную ответственность за все мнения, выраженные в публикациях и на веб-сайте.

CT.gov: Закон Коннектикута о персональных данных

Закон Коннектикута о персональных данных

Чтобы быть уверенным, что вы ознакомились с самой последней версией этого закона, ознакомьтесь с Законом о личных данных на веб-сайте Генеральной Ассамблеи Коннектикута.

сек. 4-193. Обязанности агентства в отношении персональных данных. Каждое агентство должно:

(a) Информировать каждого из своих сотрудников, которые эксплуатируют или обслуживают систему персональных данных или кто имеет доступ к персональным данным, о положениях (1) настоящей главы, (2) постановлений агентства, принятых в соответствии с разделом 4-196, ( 3) Закон о свободе информации, как это определено в разделе 1-200, и (4) любой другой закон штата или федеральный закон или постановление, касающееся сохранения или раскрытия личных данных, хранящихся в агентстве;

(b) принимать разумные меры предосторожности для защиты личных данных от опасностей пожара, кражи, наводнения, стихийных бедствий или других физических угроз;

(c) Вести полную запись, касающуюся каждого человека, каждого лица, агентства или организации, которые получили доступ или которым было раскрыто персональные данные, а также причины каждого такого раскрытия или доступа; и поддерживать такую ​​запись в течение не менее пяти лет с даты получения такого доступа или раскрытия или поддерживать такую ​​запись в течение всего срока действия записи, в зависимости от того, какой срок дольше;

(d) предоставлять лицу по письменному запросу записи, хранящиеся в соответствии с подразделом (c) этого раздела;

(e) поддерживать только ту информацию о человеке, которая имеет отношение к делу и необходима для достижения законных целей агентства;

(f) Информировать физическое лицо в письменной форме по письменному запросу о том, хранит ли агентство его персональные данные;

(g) За исключением случаев, предусмотренных в разделе 4-194, раскрывать лицу, по письменному запросу, в форме, понятной такому лицу, все личные данные о нем, которые хранятся агентством.Если раскрытие личных данных осуществляется в соответствии с этим подразделом, агентство не должно раскрывать какие-либо личные данные, касающиеся лиц, кроме запрашивающего лица;

(h) Установить процедуры, которые:

(1) Разрешить человеку оспаривать точность, полноту или актуальность его личных данных;

(2) Разрешить исправление личных данных по запросу лица, когда агентство соглашается с предлагаемым исправлением;

(3) Разрешить лицу, которое считает, что агентство хранит неточные или неполные личные данные о нем, добавить заявление к записи, в котором будет указано, что он считает точной или полной версией этих личных данных.Такое заявление должно стать постоянной частью системы персональных данных агентства и должно быть раскрыто любому физическому лицу, агентству или организации, которым раскрываются оспариваемые персональные данные.

.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *