Закон о персональных: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

Опубликован закон, устанавливающий особенности обработки общедоступных персональных данных

Юридическая компания «Пепеляев Групп» сообщает о том, что 30 декабря 2020 года опубликован закон[1], вносящий изменения в Федеральный закон «О персональных данных»[2], регламентирующий особенности обработки и распространения персональных данных, подлежащих раскрытию неопределенному кругу лиц (вместо общедоступных персональных данных).


Основные изменения, установленные законом, вступают в силу с 1 марта 2021 года.


Согласно Пояснительной записке к принятому законопроекту, цель введения нового регулирования – исключить бесконтрольное использование персональных данных (далее – ПДн), в частности, опубликованных на веб-сайтах, то есть использование в целях, отличных от цели первоначального распространения (опубликования) данных.


Закрепляется новое понятие – «ПДн, разрешенные субъектом для распространения», при этом под распространением понимается предоставление доступа неограниченному кругу лиц.


Практически из всех статей Закона о ПДн исключается понятие «общедоступных данных». Так, исключается такое правовое основание обработки ПДн, как «обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе» (т. е. «ПДн, сделанных общедоступными субъектом ПДн»).


Тем не менее, положение Закона о ПДн, регулирующее обработку ПДн в общедоступных источниках ПДн (ст. 8 Закона о ПДн) не подверглось изменениям. Полагаем, определенное количество вопросов в правоприменении может возникнуть при соотнесении механизмов использования (в том числе формирования) общедоступных источников ПДн и ПДн, разрешенных для распространения.

Законом закрепляется необходимость получения согласия на обработку ПДн, разрешенных для распространения, отдельно от иных согласий. Требования к содержанию такого согласия будут установлены Роскомнадзором, и можно ожидать, что они будут достаточно жесткими.
Так, например, из Пояснительной записки к законопроекту следует, что согласие «должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные ПДн».
Кроме того, законом устанавливается, что, помимо получения согласия на обработку ПДн для дальнейшего распространения непосредственно от субъекта, у оператора будет возможность получить такое согласие с использованием информационной системы Роскомнадзора.
В будущем следует ожидать опубликования информации Роскомнадзором, из которой станет известен полный перечень требований к содержанию согласия на обработку ПДн, подлежащих распространению. Также интерес представляет ожидаемая от Роскомнадзора информация о системе, через которую можно будет получать соответствующие согласия – он должен будет определить правила использования информационной системы, в том числе порядок взаимодействия субъекта персональных данных с оператором.

Отметим, что сведения об условиях и запретах, упомянутых выше, оператор ПДн должен опубликовать в течение трех дней с момента получения соответствующего согласия субъекта ПДн.
Устанавливается несколько важных механизмов защиты распространяемых ПДн. Так, бремя доказывания обработки и последующего распространения ПДн на законном основании возложено на каждого оператора ПДн, осуществившего их обработку, в том числе распространение. Такое бремя возлагается на операторов в случаях:
  • когда оператором осуществлено раскрытие ПДн неопределенному кругу лиц без соответствующего согласия,
  • когда ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Кроме того, механизмы защиты распространяемых ПДн получили свое выражение в запрете распространять ПДн, если из согласия субъекта не следует, что он согласился с их распространением. В дополнение к этому закреплено положение о том, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных к распространению.
Положение, установленное новым законом в отношении согласия на обработку ПДн, разрешенных для распространения, во многом аналогично европейскому регулированию концепции и механизма получения согласия на обработку ПДн. Так, согласие должно быть явно и однозначно выражено, не может быть «пассивным».

Наконец, регламентирован порядок прекращения обработки ПДн, разрешенных для распространения. Субъект ПДн вправе направить требование о прекращении передачи (распространения, предоставления, доступа) разрешенных к распространению ПДн. Законом устанавливаются требования к содержанию такого запроса. Кроме того, с соответствующим требованием субъект может обратиться в суд.


Оператор, в свою очередь, обязан прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных к распространению, в течение трех рабочих дней с момента получения соответствующего требования, либо в срок, указанный во вступившем в силу решении суда (а если такой срок не указан – в течение трех рабочих дней с момента вступления решения суда в силу).


О чем подумать, что сделать

Компаниям следует подготовиться к выполнению новых требований, установленных законом, и учитывать их в дальнейшей работе, в частности:
  • принять необходимые меры по обновлению локальных актов компании, регламентирующих порядок обработки ПДн, разработать новые либо скорректировать существующие формы согласий на обработку ПДн;
  • если деятельность компании связана с обработкой распространяемых ПДн, организовать деятельность компании и ее работников в соответствии с новыми требованиями законодательства, в частности, при необходимости пересмотреть существующие бизнес-процессы.

Помощь консультанта

Специалисты юридической компании «Пепеляев Групп» обладают обширным опытом работы по вопросам соблюдения законодательства о ПДн, в том числе в части регламентации обработки общедоступных данных. Готовы оказать комплексное правовое и техническое содействие в проверке соблюдения требований законодательства о ПДн и устранении выявленных нарушений, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.

[1] Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн).

Возврат к списку

Похожие материалы

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой
E-mail: [email protected]
Nел. +7 (495) 767 00 07

Управление образования МО Северский район

Федеральный закон Российской Федерации 

от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Дата подписания: 27.07.2006

Дата публикации: 29.07.2006 00:00

Принят Государственной Думой 8 июля 2006 года 

Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

ФЗ — закон о персональных данных для владельцев сайтов.

Что такое 152-ФЗ?

Это федеральный закон, который регулирует деятельность операторов персональных данных в области управления персональными данными. Закон посвящен регулировке данных граждан Российской Федерации. Требования ФЗ сообщают о том, что все сайты и блоги, на которых есть формы для отправки данных пользователей должны соответствовать ряду требований.

Под формами отправки данных имеются в виду онлайн-формы:

  • обратной связи и отправки сообщений,

  • регистрации пользователей,

  • оформления заказов,

  • подписки на рассылку,

  • комментарии,

  • любые другие формы, через которые пользователи отправляют какие-либо данные (текстовые, графические, голосовые и другие) с сайта.

Касается ли 152-ФЗ физлиц?

Да. Физлицо, владеющее сайтом и принимающее через него данные от пользователей, тоже является оператором персональных данных, а значит подпадает под действие закона.

Чем грозит нарушение закона?

Нарушение закона грозит владельцу сайта штрафом или даже блокировкой ресурса.

Как владельцу сайта избежать этой проблемы?

Перед тем, как принимать какие-либо данные от пользователей вашего сайта (если вы предварительно не заключили с ними договор о правоотношениях), вы должны получить от них согласие на обработку персональных данных.

  • Веб-форма ― способ получить это согласие. Необходима специальная форма, где пользователь ставит галочку в определенной графе, явно указывающей на его согласие с правилами обработки персональных данных.

  • На сайте должен быть размещен документ с описанием политики вашего сайта по обработке данных. Политика должна соответствовать требованиям 152-ФЗ.

Вы должны позаботиться о размещении персональных данных пользователей из России на территории Российской Федерации.

Почему сайты на 1С-UMI соответствуют 152-ФЗ?

Мы позаботились о том, чтобы все сайты, созданные на нашем сервисе, полностью соответствовали законодательству. Для этого мы встроили в них механизм, который отправляет данные форм только при условии согласия пользователей на обработку персональных данных. Для этого все формы отправки данных оснащены специальным функционалом в виде галочки, расположенной под формами. По умолчанию она выглядит так, но текст редактируется:

Далее необходимо заполнить саму страницу с правилами обработки персональных данных.

Как составить текст соглашения

Текст соглашения составляется в произвольной форме в соответствии с юридическими требованиями. Вот пример такого документа, который используем мы в UMI. Все необходимые данные и документы о техническом обеспечении сайта со стороны UMI мы предоставляем по запросу. 

Как разместить правила обработки персональных данных

На вашем сайте уже подготовлена страница для размещения правил. Чтобы попасть на нее, перейдите по соответствующей ссылке под любой формой на вашем сайте.

Изменился закон о персональных данных: что это значит | Leader-ID

1 марта вступили в силу изменения в законе о персональных данных. Законодатели исключили понятие общедоступных персональных данных и ввели новую категорию — персональные данные, разрешенные субъектом персональных данных для распространения. Теперь любой человек может выбирать, какие свои данные и кому показывать. Можно требовать от сайтов удаления старых записей о себе, вычищать в интернете нежелательные фотографии, а еще запрещать передачу имени и фамилии инопланетянам.

Что нового в законе

Изменения утверждены отдельным законом — № 519-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“». Вот ключевые положения этого документа.

Распространять персональные данные можно только с согласия человека

Эта норма в другой формулировке существовала и раньше, теперь ее конкретизировали. Требование означает, что даже имена и фотографии сотрудников нельзя опубликовать на сайте компании без их согласия.

Владелец данных может потребовать их удаления в любой момент

Человек может отозвать согласие и запретить использование своих данных. Владельцу данных больше не нужно доказывать незаконность чужих действий, и он может обойтись без жалобы в Роскомнадзор. Достаточно обратиться напрямую, например, к администрации сайта, и администрация обязана будет удалить информацию.

Здесь есть исключение — если данные представляют государственный, общественный и публичный интерес. В основном это исключение затрагивает СМИ: онлайн-издания, телевидение, газеты. Например, новостное СМИ откажет в удалении данных участника громкого происшествия, сославшись на то, что расследование имеет общественное значение.

Достаточно обратиться напрямую к администрации сайта, и администрация обязана будет удалить информацию.

Люди могут сами определять состав данных для распространения

Владелец данных имеет право решать, что именно о себе он хочет опубликовать. Владельцы интернет-ресурсов обязаны предоставить такую возможность. Например, пользователь может разрешить сайту публиковать пол, но запретить указывать возраст. Закон не ограничивает пользователей, и теперь они могут указывать запреты в свободной форме: «запрещаю передавать свои данные инопланетянам», «в случае наступления зомби-апокалипсиса прошу не передавать мои данные в Umbrella Corporation».

Согласие нельзя получить автоматически

Молчание или бездействие человека больше нельзя рассматривать как согласие на обработку персональных данных. То есть если кто-то молчит в ответ на вопрос «Вы согласны на обработку персональных данных?», то он по умолчанию не согласен. Роскомнадзор больше не устроит формулировка о так называемом конклюдентном согласии, когда человек, позируя на фотокамеру, как бы автоматически дает согласие на использование изображения.

Что делать администраторам сайтов

Каждый сайт теперь обязан спрашивать пользователей, какие данные можно публиковать и передавать третьим лицам. То есть нужно брать отдельное согласие — его можно условно назвать согласием на опубличивание. Это должно быть именно отдельное согласие, а не новый пункт в пользовательском соглашении или уже имеющейся форме согласия об обработке персональных данных.

Фактически теперь нужны два согласия: обычное на обработку персональных данных и согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Что нужно обязательно написать в новом согласии, Роскомнадзор разъясняет в проекте приказа «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Но этот документ до сих пор не подписан, и его можно считать рекомендацией.

Каждый сайт теперь обязан спрашивать пользователей, какие данные можно публиковать и передавать третьим лицам

Как взять согласие, ничего не нарушив?

Некоторые сайты уже отреагировали на изменение закона. На сайте Leader-ID пользователям старше 18 лет теперь предлагают вместо одной галочки поставить две:

1. Принять пользовательское соглашение и политику обработки персональных данных.

2. Дать согласие на обработку персональных данных, разрешенных для распространения.

Без первого согласия на сайте не авторизоваться. Вторую галочку можно не ставить, но тогда профиль пользователя будет скрыт от посетителей и поисковых систем

Без первого согласия на сайте не авторизоваться. Вторую галочку можно не ставить, но тогда профиль пользователя будет скрыт от посетителей и поисковых систем

Пользователям младше 18 лет предлагают распечатать документы, подписать их у одного из родителей и загрузить в Leader-ID. Для этого есть 30 дней с момента регистрации или первого входа в аккаунт после 1 марта — в этот день вступил в силу новый закон.

C 1 марта система Leader-ID cобрала почти 10 000 согласий с новым пользовательским соглашением и политикой обработки персональных данных, а также 6 100 согласий на обработку персональных данных, разрешенных субъектом для распространения.

Как действовать, если пользователь требует удалить свои данные?

По новому закону ранее выданное согласие аннулируется сразу же после получения требования о его отзыве. Требованием считается, в частности, обычное электронное письмо от пользователя: «Прошу удалить информацию обо мне на сайте, так как не давал согласия на распространение персональных данных, а если и давал, то отзываю таковое».

На выполнение требования закон отводит три дня с момента его получения

За пользователем закреплено право подать иск в суд, то есть человек может не жаловаться администрации, а сразу начать судиться. В таком случае срок удаления данных установит суд.

Как отреагировали на новый закон соцсети

Пока никак. Единственное исключение — «Одноклассники», где в пользовательском соглашении появилась строчка, которая «обходит» требования: «Лицензиат самостоятельно определяет условия и предоставляет доступ к своим персональным данным неограниченному кругу лиц, в том числе путем регистрации и использования стандартного функционала Социальной сети, а также путем выбора настроек приватности и видимости своей Персональной страницы в рамках предоставленного Лицензиату функционала Социальной Сети. Лицензиар не инициирует и не влияет на такой выбор Лицензиата, а также не имеет цель получить у Лицензиата разрешение на распространение его персональных данных. Обработка персональных данных, сделанных Лицензиатом доступными неограниченному кругу лиц, осуществляется Лицензиаром на основании Соглашения и в соответствии с его условиями».

Этим длинным текстом соцсеть как бы говорит пользователям: «За оставленные без присмотра ценные вещи администрация гардероба ответственности не несет».

Новое положение соглашения декларирует, что пользователь волен сам определять настройки приватности в рамках технических возможностей соцсети, а соцсеть не имеет намерения распространять ничьи личные данные, так как они ей не интересны.

Чего еще ждать

Вторая часть изменений в законе о персональных данных вступит в действие 1 июля. Вот эти изменения.

1. Государство планирует запуск информационной системы Роскомнадзора. Проект приказа о функционировании такой информационной системы уже опубликован. Появится третий способ взять согласие нового типа — через информационную систему Роскомнадзора. Сейчас это можно сделать только в бумажном виде или с помощью информационной системы оператора персональных данных.

2. Роскомнадзор должен принять требования к новым согласиям, из которых станет понятно, как должна выглядеть их форма.

3. Вступит в действие обязанность оператора данных в течение трех дней после получений согласия опубликовать информацию об условиях обработки и о наличии запретов на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения. Что это значит, пока неясно.

Федеральный закон от 27 июля 2006 г

Федеральный закон от 27 июля 2006 г. N 152-ФЗ О персональных данных

Принят Государственной Думой 8 июля 2006 года

Одобрен Советом Федерации 14 июля 2006 года

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.

Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные являются общедоступными;

3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.

Статья 11. Биометрические персональные данные

1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Статья 12. Трансграничная передача персональных данных

1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.

2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к своим персональным данным

1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.

2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных.

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Глава 6. Заключительные положения

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Президент

Российской Федерации

В. Путин

 

Закон о защите частной жизни | ОТДА

OTDA Домашние законы и правила Закон о защите частной жизни

Закон о защите частной жизни

Что следует знать о защите личной конфиденциальности

О личной конфиденциальности

Закон штата Нью-Йорк о защите частной жизни (PPPL) защищает вас от случайного сбора личной информации органами штата. Закон позволяет вам получить доступ и/или исправить информацию в файле, который относится к вам.Он также регулирует раскрытие личной информации лицам, уполномоченным законом на доступ для официального использования. Только личная информация, хранящаяся в Управлении временной помощи и помощи по инвалидности (OTDA), доступна в OTDA в соответствии с PPPL.

Информация в этом разделе поможет вам узнать, какие шаги необходимо предпринять, чтобы получить доступ к вашей личной информации и/или исправить ее. Если у вас есть какие-либо вопросы относительно Закона о защите частной жизни, отправьте запрос по электронной почте: [email protected]

Как получить доступ к личным записям и/или исправить их

К каким личным записям вы можете получить доступ/исправить?

Запросы на доступ к личной информации могут относиться только к той информации, которая собирается и хранится Управлением временной помощи и помощи по инвалидности (OTDA). Доступна только информация, которая содержит номер, символ, знак или другой идентификатор, который может быть использован для идентификации человека. Личная информация, освобожденная от раскрытия и/или исправления по закону или закону, недоступна.

Как сделать запрос?

Запросы на доступ/исправление должны содержать достаточно информации для обеспечения возможности поиска. В дополнение к имени или любым другим доступным идентификаторам запрос должен включать любую известную программу OTDA, которая собирала информацию, приблизительные даты участия и любые известные подразделения или местоположения OTDA, где информация была собрана или отправлена. Если бы информация собиралась в форме, номер формы очень помог бы в поиске.

Какое удостоверение личности вам понадобится?

В зависимости от обстоятельств, связанных с запросом PPPL, может потребоваться проверка или подтверждение личности запрашивающего. Если вы отправляете свой запрос в виде корреспонденции по почте, нотариально заверенное заявление будет приемлемым доказательством. Если вы хотите получить доступ к информации лично, потребуются действительные водительские права с фотографией или другое доказательство, приемлемое для сотрудника по доступу к записям.

Как отправить запрос

Запрос на доступ и/или исправление личной записи о конфиденциальности может быть отправлен по почте, факсу или электронной почте по адресу:

Сотрудник по доступу к записям
Управление штата Нью-Йорк по временной помощи и помощи инвалидам
Северная жемчужина, 40, 16 этаж
Олбани, Нью-Йорк 12243
ФАКС: (518) 486-6935
Электронная почта: [email protected] ny.gov

Что происходит после получения вашего запроса?

Сотрудник по доступу к записям будет подтверждать все запросы на доступ, искать информацию, определять, подлежит ли информация раскрытию, и либо передавать информацию, либо отказывать в доступе в зависимости от ситуации. Если ваш запрос будет отклонен, вам также будет предоставлено право на апелляцию.

Как подать апелляцию, если вам отказали в доступе

Если сотрудник по доступу к записям отказал вам в доступе, вы будете уведомлены об этом в письменной форме.У вас есть право подать апелляцию, но вы должны сделать это в течение 30 дней. Апелляция должна быть подана в письменной форме и отправлена ​​по почте, факсу или электронной почте в отдел апелляций OTDA по указанному ниже адресу:

.

Марк Лонгтоу, заместитель советника
Управление штата Нью-Йорк по временной помощи и помощи инвалидам
Северная жемчужина, 40, 16 этаж
Олбани, Нью-Йорк 12243
Факс: 518-474-9389
Электронная почта: апелляция[email protected] ny.gov

Для получения дополнительной информации о Законе о защите частной жизни посетите веб-сайт Комитета по открытому правительству.

Закон о защите личной информации Китая скоро вступит в силу который вступит в силу с 1 ноября 2021 года.

PIPL будет работать вместе с Законом о кибербезопасности («CSL») и Законом о безопасности данных («DSL»), чтобы создать более широкую нормативную архитектуру, регулирующую кибербезопасность и защиту конфиденциальности данных в Китае.После вступления в силу этот новый закон окажет значительное влияние на практику соблюдения данных как отечественными, так и многонациональными компаниями в той мере, в какой они обрабатывают или используют личную информацию физических лиц, находящихся в Китае.

Будучи первым комплексным законодательством о защите личной информации в Китае, PIPL определяет объем личной информации; разъясняет правовые основы обработки персональных данных; устанавливает обязательства и ответственность, возложенные на обработчиков; и предъявляет строгие требования к локализации данных, защищая интересы Китая в случае трансграничной передачи личной информации. Ниже приводится краткое изложение основных аспектов закона.

 

Экстерриториальное применение PIPL

В дополнение к обработке личной информации процессорами, осуществляемыми в КНР, PIPL также имеет экстерриториальное применение для обработки личной информации людей, находящихся в КНР, если такая обработка осуществляется за пределами КНР при любом из следующих обстоятельств:

  • для предоставления товаров или услуг физическим лицам, находящимся в Китае;
  • для анализа или оценки поведения физических лиц, находящихся на территории Китая; или
  • любые другие обстоятельства, предусмотренные законом или нормативными актами. 1

Таким образом, в соответствии с PIPL иностранные компании (даже не имеющие присутствия в Китае), занимающиеся обработкой личной информации физических лиц, находящихся на территории Китая, связаны законом и должны создать специальную организацию или назначить агента или назначенного представитель в Китае, который будет нести ответственность за решение связанных с этим вопросов. Имя и контактные данные такого местного агента или представителя должны быть предоставлены соответствующему органу власти. 2

 

Объем личной информации, конфиденциальная личная информация и процессор

В соответствии с PIPL личная информация определяется как любая информация (например, видео, голос или данные изображения), относящаяся к любому идентифицированному или идентифицируемому физическому лицу, независимо от того, представлена ​​ли она в электронной или любой другой форме, за исключением любого анонимного Информация. 3

Впервые в PIPL выдвигается понятие «обработчик персональных данных», относящееся к организациям и физическим лицам, самостоятельно определяющим цель и способ обработки персональных данных. 4 «Обработка личной информации» включает, помимо прочего, сбор, хранение, использование, обработку, передачу, предоставление, раскрытие и удаление личной информации. 5

В дополнение к личной информации, как определено в CSL, PIPL определяет «конфиденциальную личную информацию» как личную информацию, утечка или незаконное использование которой может легко привести к оскорблению личного достоинства физического лица или причинению вреда личному или сохранность имущества. 6 Это первый национальный закон КНР, определяющий конфиденциальную личную информацию и, что более важно, устанавливающий соответствующие обязательства обработчиков такой информации. 7

 

Правовые основы обработки личной информации

После выпуска CSL «уведомление и согласие» долгое время были единственной правовой основой для обработки личной информации. PIPL впервые на уровне национального законодательства расширяет основания для обработки персональных данных, добавляя следующие базы:

  • , если необходимо заключить или выполнить договор или осуществить управление персоналом;
  • , когда это необходимо для выполнения уставных обязанностей или уставных обязательств;
  • , когда необходимо отреагировать на чрезвычайную ситуацию в области общественного здравоохранения или защитить интересы или безопасность человека в чрезвычайной ситуации;
  • , если необходимо осуществлять деятельность в общественных интересах;
  • , когда соответствующая личная информация, которая либо была раскрыта соответствующим лицом, либо иным образом раскрыта на законных основаниях, обрабатывается в разумных пределах в соответствии с законом; и
  • иные обстоятельства, предусмотренные законодательством или административными актами. 8

Кроме того, PIPL устанавливает подробные требования к уведомлению и согласию. В частности, обработчик личной информации должен получить конкретное согласие от заинтересованного лица, когда: (a) обрабатывается конфиденциальная личная информация; (b) личная информация предоставляется обработчиком другому обработчику; (c) обрабатываемая личная информация раскрывается публично; или (d) личная информация передается за пределы Китая. 9

Пока неизвестно, как эти положения будут интерпретироваться и применяться.Например, в контексте внутреннего расследования, если в таком расследовании помогает отдел кадров, является ли это освобождением от управления персоналом? Кроме того, представляет ли внутригрупповой перевод (например, от одной компании группы к другой) перевод «другому обработчику», для которого может потребоваться особое согласие заинтересованного лица? Еще одна серая область — передача данных из портфельной компании, контролируемой фондом прямых инвестиций, в сам фонд. Кроме того, неясно, какие обстоятельства могут подпадать под правовые основы «чрезвычайной ситуации» и «личных интересов или безопасности».Многонациональные компании и финансовые спонсоры должны будут внимательно следить за соответствующими положениями и правилами реализации PIPL для получения дальнейших указаний.

 

Обязанности процессора

PIPL устанавливает нормативную базу, которая налагает существенные обязательства и ответственность на всех обработчиков личной информации, в том числе:

  • разработка внутренних систем управления и рабочих процедур;
  • осуществляет секретное управление личной информацией;
  • принятие соответствующих технических мер безопасности, таких как шифрование и деидентификация;
  • разумное определение операционных разрешений на личную информацию и обеспечение регулярного обучения и подготовки по вопросам безопасности для оперативного персонала;
  • разработка и реализация планов реагирования на инциденты безопасности, связанные с личной информацией;
  • проведение регулярных проверок соответствия требованиям; и
  • принятие иных мер безопасности, предусмотренных законодательством.

Обработчик персональных данных, который предоставляет важную услугу интернет-платформы, имеет большую базу пользователей и/или управляет сложными видами бизнеса, также должен разработать надежную программу соблюдения требований к данным (включая подготовку политики соблюдения требований по защите персональных данных) и установить/ назначить независимый орган для надзора за его выполнением. Такие обработчики также должны активно отслеживать поведение поставщиков услуг или продуктов на своей платформе, которые могут нарушать какие-либо законы или административные правила при выполнении операций по обработке. 10 Однако неясно, сколько пользователей считается «большой пользовательской базой» и как определить сложность типов бизнеса.

 

Совместная обработка и доверенная обработка

PIPL также устанавливает особые обязательства для специальной обработки, включая совместную обработку и доверенную обработку.

  • Совместная обработка. PIPL предусматривает, что если два или более процессора совместно определяют цель и метод обработки личной информации, их соответствующие права и обязанности должны быть согласованы.Закон налагает солидарную ответственность на лиц, осуществляющих совместную обработку данных, если деятельность по совместной обработке нарушает права и интересы в отношении личной информации и приводит к убыткам. 11
  • Доверенная обработка. Если обработчик поручает третьей стороне обрабатывать личную информацию, в соответствии с PIPL: (a) обработчик должен контролировать действия по обработке такой третьей стороны; и (b) такая доверенная третья сторона обязана принимать необходимые меры для защиты личной информации в соответствии с PIPL и помогать обработчику соблюдать закон. 12 Без согласия обработчика доверенной стороне запрещено повторно доверять другим лицам обработку личной информации. 13 В законе, по-видимому, не указывается, возникнет ли солидарная ответственность в случае нарушения закона любой из сторон.

Такие требования требуют особого внимания, так как на практике компании могут время от времени работать с третьими лицами или привлекать их для осуществления деятельности по обработке данных.

 

Требования к локализации данных и трансграничной передаче личной информации

В соответствии с CSL и DSL, PIPL также требует, чтобы операторы критической информации об инфраструктуре, а также обработчики, обрабатывающие личную информацию, которая достигает определенного порога (который не указывается в PIPL), хранили личную информацию на территории Китай.Если трансграничная передача личной информации действительно необходима, такая передача должна пройти оценку безопасности, проводимую Администрацией киберпространства Китая (« CAC ») и другими правоохранительными органами. 14

Другие обработчики личной информации могут осуществлять трансграничную передачу личной информации при соблюдении одного из следующих требований: (a) прохождение оценки безопасности CAC; (b) получение сертификата безопасности данных профессиональным органом, признанным CAC; (c) заключение соглашения с зарубежным получателем с положениями, регулирующими права и обязанности сторон, на основе типового контракта, который будет опубликован CAC; или (d) другие требования, предусмотренные соответствующими законами и правилами. 15

 

Усиленные наказания

PIPL устанавливает более строгие меры наказания за нарушения закона, которые могут привести к административному штрафу в размере до 50 миллионов юаней или 5% от оборота процессора за предыдущий год, конфискации незаконных доходов, прекращению деятельности для исправления или аннулированию. разрешений на эксплуатацию или бизнес-лицензий. 16 Ответственное лицо или другие лица, несущие непосредственную ответственность, также могут быть привлечены к ответственности и подвергнуты штрафу в размере до 1 миллиона юаней.Кроме того, таким лицам может быть запрещено занимать должности директора, руководителя, высшего руководства или сотрудника по защите личной информации в течение оговоренного периода времени. 17

PIPL также возлагает деликтную ответственность на обработчиков, нарушающих права и интересы личной информации. PIPL возлагает бремя доказывания на ответчика, обрабатывающего личную информацию, в гражданском иске, чтобы облегчить требования о возмещении ущерба. 18 Если такое нарушение затрагивает большое количество лиц, то обработчикам могут быть предъявлены гражданские иски или уголовные обвинения, предъявленные группами потребителей, организациями, уполномоченными CAC и/или прокуратурой. 19

 

Выводы

Поскольку PIPL вступит в силу 1 ноября 2021 года, для любой компании, осуществляющей обработку личной информации людей, находящихся в КНР, крайне важно провести сопоставление данных и анализ пробелов, чтобы оценить, нужно ли ей разрабатывать или обновлять свои данные. политика конфиденциальности и процедуры для полного соблюдения PIPL. PIPL отражает тенденцию к сближению международных правил конфиденциальности данных (таких как Общее положение о защите данных и Калифорнийский закон о конфиденциальности потребителей) и принимает некоторые международные принципы защиты конфиденциальности данных.Поэтому для компаний и финансовых покупателей, которые обрабатывают личную информацию в нескольких юрисдикциях, важно пересмотреть свои политики и методы обеспечения конфиденциальности данных с целью гармонизации процедур для требований различных регулирующих органов.

 

1 PIPL, ст. 3.
2 ПИПЛ, ст. 53.
3 ЗПИП, ст. 4.
4 ПИПЛ, ст. 73.
5 ЗПИП, ст. 4.
6 ПИПЛ, ст. 28.
7 ЗПИП, ст. 29, 30, 32, 55.
8 PIPL, ст. 13.
9 ЗПИП, ст. 23, 25, 29, 39.
10 PIPL, ст. 58.
11 ЗПИП, ст. 20.
12 PIPL, ст. 21, 59.
13 ЗПИП, ст. 21.
14 ЗПИП, ст. 40. Обратите внимание, что оценка безопасности может быть отменена в соответствии с законами, административными положениями или органом кибербезопасности.
15 PIPL, ст. 38.
16 PIPL, ст. 66.
17 Там же.
18 PIPL, ст. 69.
19 ЗПИП, ст. 70.

 

Майкл Ли (Уайт энд Кейс, юрист, Гонконг) и Сюэ Фэн (Уайт энд Кейс, юридический консультант, Пекин) внесли свой вклад в подготовку этой публикации.

 

Эта публикация предназначена для вашего удобства и не является юридической консультацией. Данная публикация защищена авторским правом.
© 2021 ТОО «Уайт энд Кейс»

Конфиденциальность | USAGov

Узнайте о защите вашей личной информации от нежелательного использования.

Защитите свою конфиденциальность

Нет никакой гарантии, что организации будут защищать вашу личную информацию настолько, насколько вам этого хочется. Даже при наличии строгих мер безопасности кто-то может взломать базу данных компании.Утечки данных делают вас уязвимыми для фишинга или кражи личных данных. Эти советы помогут вам защитить вашу конфиденциальность:

  • Ознакомьтесь с политиками конфиденциальности компаний, с которыми вы взаимодействуете. Ищите заявления о конфиденциальности на веб-сайтах, в рекламных материалах и формах, которые вы заполняете.
  • Узнайте, как организации защищают вашу информацию от хакеров и утечки данных.
  • Отказ от подписных списков организаций.
  • Создавайте надежные пароли для своих сетевых учетных записей.Обновите свои пароли, особенно если компания сообщает об утечке данных.
  • Используйте VPN при общедоступном Wi-Fi. VPN шифрует любые данные, которые вы отправляете по сети.
  • Отключите файлы cookie , чтобы компании не могли отслеживать ваши действия в Интернете.
  • Узнайте в своем штате или местном агентстве по защите прав потребителей, есть ли в вашем штате законы, защищающие вашу конфиденциальность.

Конфиденциальность медицинской информации

Узнайте о своих правах на неприкосновенность частной жизни и о том, как подать жалобу на неприкосновенность частной жизни.

Знай свои права

Закон о переносимости и подотчетности медицинского страхования (HIPAA) защищает ваши медицинские записи. HIPAA.

Защитите свою медицинскую конфиденциальность

Примите меры для защиты конфиденциальности вашего здоровья:

  • Читайте мелкий шрифт в формах медицинского разрешения. Проверьте наличие пунктов, раскрывающих вашу медицинскую информацию.
  • Запросите копию своей медицинской документации, чтобы знать, что в ней.
  • Ознакомьтесь с политикой конфиденциальности на веб-сайтах, посвященных вопросам здоровья, в опросах и медицинских осмотрах.

Сообщить о нарушении конфиденциальности медицинской информации

Если врач, страховая компания или поставщик медицинских услуг нарушили ваши права HIPAA:

У вас есть вопрос?

Задайте реальному человеку любой вопрос, связанный с правительством, бесплатно. Они дадут вам ответ или сообщат, где его найти.

Последнее обновление: 7 сентября 2021 г.

Анализ основных моментов Закона о защите личной информации | Deloitte China

Закон Китайской Народной Республики о защите личной информации (далее именуемый «PIPL») принят на 30-й сессии Постоянного комитета Всекитайского собрания народных представителей 13-го созыва 20 августа 2021 года, и вступит в силу с 1 ноября 2021 года.В качестве специального законодательства о защите личной информации PIPL содержит основные принципы, требования и соответствующие системы защиты личной информации. В предыдущих статьях мы поделились исходным текстом PIPL (утвержденным черновиком), а также его сходствами и различиями со вторым черновиком для ознакомления. В этой статье мы предоставим дополнительную информацию о законодательном намерении и последствиях основных положений PIPL (включая конфликты и совместимость в рамках законодательной системы о защите данных, различия с другим законодательством о защите данных (например,g., GDPR), положения о намерениях и оговорках законодательства), а также рекомендации о последствиях этих положений для управления корпоративной конфиденциальностью.

 

1. Законодательное положение PIPL

 
(1) Базовая законодательная позиция

Во-первых, с точки зрения уровня эффективности PIPL представляет собой правовой кодекс, принятый Постоянным комитетом Всекитайского собрания народных представителей, который действует на всей территории страны и находится на вершине правовой иерархии нашей страны.Эффективность PIPL выше, чем у ведомственных правил Госсовета, национальных стандартов, местных законов и правил и отраслевых норм самодисциплины, сформулированных Госсоветом. Это свидетельствует о том, что государство придает большое значение защите личной информации граждан.

Во-вторых, с точки зрения объекта регулирования PIPL представляет собой специальный закон о защите персональных данных. Хотя в основных законах Китая, таких как гражданский закон и уголовный закон, есть положения о защите личной информации, большинство положений разбросаны и не обеспечивают полной и систематической защиты личной информации.Однако эти разрозненные правила заложили правовую и рациональную основу для конкретного законодательства о защите личной информации. На основе этих правил PIPL сформировала полную систему систематизированных, целенаправленных и действующих специализированных правил.

Таким образом, PIPL представляет собой специальный закон о защите личной информации с высоким уровнем эффективности. Он решает проблему неадекватного и разрозненного законодательства о защите личной информации и открывает новую главу в области защиты личной информации для граждан Китая.
 

(2) Связь и согласование с законодательством о других данных и личной информации

  • Закон о безопасности данных

    Закон о безопасности данных, который вступит в силу 1 сентября 2021 года, признан общим и основным законом в области защиты данных в Китае. Применительно к объекту регулирования, согласно статье 3 настоящего Закона, «в целях настоящего Закона под данными понимается любая запись информации в электронной или иной форме». Коннотация «данные» в соответствии с этим законом включает личную информацию и все другие виды информации.I С точки зрения нормативного содержания положения этого закона носят макро- и фундаментальный характер и устанавливают ряд основных систем для управления национальной безопасностью данных. Таким образом, с точки зрения законодательного намерения, Закон о безопасности данных является основным законом в области данных в Китае. PIPL как закон, специально регулирующий защиту личной информации, по существу является расширением принципов Закона о безопасности данных в области защиты личной информации.

  • Закон о кибербезопасности

    Согласно статье 76 Закона о кибербезопасности, «сетевые данные» — это «все виды электронных данных, которые собираются, хранятся, передаются, обрабатываются и генерируются через сеть», и их регулируемый объект ограничен всеми электронными данными, генерируемыми в киберпространстве, не различая, имеет ли оно атрибуты личной информации. PIPL преодолевает пространственное ограничение и расширяет объект регулирования до всех данных на всех носителях и ограничивает его атрибуты рамками личной информации.Два закона имеют разные, но дополняющие друг друга объекты регулирования и предъявляют требования к сетевой безопасности и защите информации с разных точек зрения.
     

2. Законодательное значение PIPL

Помимо принципов, преобладающих в законодательстве о защите данных в странах по всему миру, положения PIPL отражают ряд дополнительных соображений, которые отличаются от преобладающих принципов. Понимание этих ценностных соображений имеет основополагающее значение для полного понимания положений PIPL.
 

(1) Найдите тонкий баланс между национальной безопасностью данных и цифровыми дивидендами
С быстрым развитием цифровой индустрии, больших данных и технологий облачных вычислений в странах по всему миру эффективное использование данных окажет более глубокое влияние на мировую экономику, и возникающее в результате противоречие между дивидендом данных и безопасностью данных также будет существенно повлиять на будущее направление цифровой экономики. Чтобы сбалансировать противоречие между ними и воспользоваться преимуществами нового раунда экономической конкуренции, страны во всем мире установили и улучшили внутренние правила защиты личной информации, а также активно продвигали и участвовали в разработке международных правил.
PIPL полностью отражает баланс Китая между дивидендом данных и безопасностью данных. Например, PIPL разъясняет правовую основу, применимую к сценарию трудоустройства, что значительно снижает бремя управления соблюдением требований защиты личной информации на предприятиях.
Что касается трансграничных правил, PIPL устанавливает дифференцированную стратегию управления, основанную на различных предметах и ​​степени риска данных, что способствует развитию предприятия при обеспечении безопасности.

(2) Продвижение дифференцированного дизайна с учетом национальных условий Китая и стремление прояснить двусмысленность международного законодательства о защите конфиденциальности
В нынешнем контексте быстрого развития глубоко интегрированных информационных технологий, таких как большие данные и облачные вычисления, можно сказать, что сейчас самое подходящее время для продвижения законодательства о защите личной информации в Китае. Согласно статистике Deloitte, по состоянию на июнь 2021 года более 80% стран по всему миру приняли или находятся в процессе введения PIPL.С одной стороны, PIPL предоставляет законодателям Китая некоторые основные принципы и идеи, а с другой стороны, обнажает некоторые проблемы, которые еще не получили четкого определения.
Исходя из этого, с одной стороны, Китай может опираться на существующие идеи и учитывать национальные условия Китая для достижения дифференцированной конструкции системы, такой как многоуровневая система регулирующих органов и строгое регулирование правил передачи личной информации за границу. С другой стороны, в связи с преобладающей в настоящее время двусмысленностью Китай стремится уточнить определение автоматизированного принятия решений и солидарной ответственности контролеров и обработчиков.

 
(3) Постоянное внимание к репрессиям правоохранительных органов и горячим темам отрасли
В последние годы в Китае часто предпринимались законодательные и правоприменительные действия, связанные с защитой данных и конфиденциальности. Поскольку было выявлено множество отраслей и сценариев с высоким уровнем риска, в отношении таких сценариев на постоянной основе проводились репрессии. В соответствии с приоритетами правоприменительной деятельности PIPL включает эти сценарии и актуальные темы и направлен на предотвращение нарушений с высокой степенью риска.
Например, PIPL устанавливает высокий порог для обработки конфиденциальной информации: обработчики личной информации могут обрабатывать конфиденциальную личную информацию только при наличии «конкретной цели» и «достаточной необходимости» и «принятии строгих мер для ее защиты». Такое положение напрямую направлено против неправомерного использования биометрической информации о лице. Кроме того, PIPL включает в себя ответственность платформы и выдвигает более высокие требования соответствия для интернет-платформ, которые имеют относительно большое количество точек доступа пользователей и включают большое количество субъектов и сложные действия по обработке данных.
 
3. Двенадцать основных моментов PIPL

От основных принципов обработки личной информации до правил трансграничного предоставления личной информации, прав отдельных субъектов данных и, наконец, вплоть до обязанностей и юридической ответственности регулирующего органа, PIPL имеет следующие системные особенности. :
 

(1) Уточнить экстерриториальные последствия и применимые объекты

Тема

Краткое изложение соответствующих статей

Область применения

Статья 3 PIPL применяется к любой деятельности по обработке личной информации, которая осуществляется на территории Китая и имеет экстерриториальные последствия при определенных условиях

Объект регулирования

Статья 4 Определение личной информации + определение деятельности по обработке данных


Существует международный консенсус в отношении выхода за рамки принципа территориальности традиционного права и усиления экстерриториального действия закона о данных.PIPL также принимает сферу применения, где существует комбинация принципа территориальности и принципа правосубъектности, и устанавливает экстерриториальные последствия в соответствии с его различными положениями и обстоятельствами, когда целью деятельности является предоставление продукта или услуги этому физическому лицу. находится в Китае, или если целью деятельности является анализ или оценка поведения этого физического лица, находящегося в Китае. Кроме того, статья 53 требует, чтобы обработчики личной информации за пределами территории Китая учредили специальное агентство или назначили представителя на территории Китая, ответственного за вопросы, связанные с защитой личной информации, что, с одной стороны, облегчает выполнение соответствующих требованиям PIPL, а с другой стороны, облегчает расследование ответственности в отношении местных субъектов на основе судебного суверенитета, чтобы эффективно осуществлять надзор за иностранными субъектами.

В отношении объекта регулирования уточнено определение деятельности по обработке персональных данных и данных. PIPL принимает понятия «идентифицированный» и «идентифицируемый» без дальнейшего толкования. Наряду с рассмотрением определения «любой информации, которая может использоваться отдельно или в сочетании с другой информацией для идентификации конкретного физического лица» в статье 1034 (2) Гражданского кодекса и Законе о кибербезопасности, два понятия можно интерпретировать следующим образом: «идентифицированный» соответствует «непосредственно расположенному», а «идентифицируемый» соответствует «идентифицируемому в сочетании с другой информацией». С этой точки зрения PIPL соответствует общепринятой практике в отношении этой ключевой концепции. Кроме того, эта статья прямо исключает «анонимизированные» данные из сферы действия регулирования, но только в том случае, если соблюдается определение, содержащееся в статье 73(4). Анонимизированная информация, которая обрабатывается до такой степени, что она не может идентифицировать конкретное физическое лицо и не может быть восстановлена ​​до исходного состояния, не является личной информацией и, следовательно, не подпадает под действие PIPL.

(2) Расширить правовую базу обработки персональных данных и уточнить действующие стандарты информирования и согласия

Тема

Краткое изложение соответствующих статей

Законное основание

Статья 13 Согласие, исполнение (или управление человеческими ресурсами в соответствии с трудовой политикой или коллективным договором), установленная законом ответственность или обязательство, чрезвычайная ситуация в области общественного здравоохранения, сообщение новостей в общественных интересах, раскрытие информации в разумных пределах и другие обстоятельства, предусмотренные в соответствии с законом.

 

Условия согласия

Статья 14 Согласие должно быть добровольным и явным выражением намерения. При необходимости должно быть получено письменное согласие. В случае любого изменения элементов необходимо повторно получить личное согласие.

Статья 15 Для обработки личной информации несовершеннолетнего обработчики личной информации должны получить согласие опекуна несовершеннолетнего.

Статья 16 Пользователи имеют право отозвать свое согласие.

Статья 17 Обработчик личной информации должен информировать человека о вопросах в ясной, точной и легкой для понимания форме. Правила обработки персональных данных должны быть общедоступны, легко доступны и храниться.

Исключения

Статья 19 Освобождение от информирования применяется в порядке, установленном законом, и информирование может быть отложено в случае возникновения чрезвычайных ситуаций.

 

PIPL расширяет законное основание для обработки личной информации, включает другие условия, такие как выполнение соглашений и установленных законом обязанностей, в сферу законного основания, сохраняет различные положения, покончит с ситуацией, установленной Законом о кибербезопасности, когда согласие является единственным законное основание для сбора и использования личной информации и перекликается со статьей 1035 Гражданского кодекса: «Согласие должно быть получено от такого физического лица или его или ее опекуна, если иное не предусмотрено законами или административными актами».Кроме того, PIPL не включает двусмысленные основания «прав и интересов субъектов данных» и «законных интересов контролеров» в объем статей, чтобы избежать расширенного толкования, и, с другой стороны, сохраняет гибкость за счет различных положения.

Кроме того, в PIPL есть две отличительные правовые основы: «Когда это необходимо для осуществления управления человеческими ресурсами в соответствии с законодательно установленной политикой занятости или законно заключенным коллективным договором» и «Если личная информация, которая уже была раскрыта физическим лицом или иным образом раскрыта на законных основаниях, обрабатывается в разумных пределах и в соответствии с настоящим Законом». Определение законного основания в сценарии занятости и сомнение в действительности согласия были в центре внимания обсуждения в отрасли. Некоторые консервативные компании проделали большую избыточную работу по управлению человеческими ресурсами, что значительно увеличило нагрузку на внутреннее управление. В результате тщательного рассмотрения специфики сценария занятости и спорных вопросов, а также точного баланса между эффективностью и порядком, PIPL впервые в дальновидном движении устанавливает политику занятости или коллективные договоры в сценарии занятости как законные основания.Кроме того, явное исключение публичной информации из объекта регулирования PIPL также является отражением вышеуказанного балансирующего движения.

Между тем, PIPL содержит четкие положения о содержании информирования, с особым акцентом на способ и порядок осуществления физическим лицом своих прав и требование сделать правила обработки доступными для общественности. Кроме того, эта статья устанавливает особые условия для освобождения или отсрочки информирования в соответствии с законом или в случае возникновения чрезвычайных ситуаций.
 

(3) Уточнить юридическую ответственность при различных сценариях внешней передачи

Тема

Краткое изложение соответствующих статей

Ответственность за совместную обработку

Статья 20 Совместные контролеры договариваются о своих соответствующих правах и обязанностях и несут солидарную ответственность в соответствии с законом за любое нарушение личных прав и интересов.

Ответственность за договорную обработку

Статья 21 Договаривающаяся сторона должна обрабатывать личную информацию и принимать надзор в соответствии с договоренностью.

Ответственность за передачу третьей стороне

Статья 23 Обработчик личной информации, который должен предоставить любую личную информацию физического лица, обрабатываемую третьей стороне, должен информировать физическое лицо и получить согласие от физического лица. Третья сторона обрабатывает личную информацию в рамках первоначальной цели, метода обработки, а также типа личной информации. Для любого изменения третья сторона должна получить согласие физического лица.

 

PIPL разделяет обмен личной информацией на три сценария: сценарий совместного контроля, сценарий обработки по контракту и сценарий предоставления третьей стороне. PIPL устанавливает разные требования соответствия для разных сценариев.

По сравнению с другими законами о защите личной информации, одним из основных нововведений PIPL является разъяснение солидарной ответственности совместных обработчиков данных, в то время как в большинстве других законодательных актов определение ответственности отсутствует. Статья 20 PIPL сначала определяет совместные обработчики как «два или более обработчика личной информации, которые совместно принимают решение о цели и методе обработки личной информации». Между тем, исходя из практических потребностей Китая и основной позиции продвижения законного потока информации, эта статья затем четко предусматривает, что «обработчики личной информации, которые совместно обрабатывают личную информацию, несут солидарную ответственность в соответствии с законом за любое нарушение личных прав и интересы при совместной обработке ими персональных данных», что дает основание для требования компенсации за нарушение прав и интересов при повсеместном сценарии совместной обработки.

Для сценария обработки по контракту, например сценария, в котором «обработчик данных» заменяет «контролера данных» для выполнения части обработки данных в других законодательных контекстах, а требования соответствия соответствуют основному законодательству. Тем не менее, особо подчеркивается, что без предварительного одобрения договорного обработчика личной информации сторона, заключившая договор, не может передавать договорную обработку личной информации какому-либо другому лицу.Даже если обработка личной информации передается по субподряду связанным компаниям, таким как материнская компания или дочерняя компания, такой случай по-прежнему представляет собой событие субподряда и требует выполнения обязательства по получению одобрения.

Для сценария предоставления третьей стороне PIPL четко определяет объем, в котором обработчик личной информации, который должен предоставить какую-либо личную информацию физического лица, обрабатываемую третьей стороне, должен раскрыть этому лицу, а также положения настоящего статья является большим практическим руководством. На практике из-за многомерного и межсекционного характера цепочки поставок крайне сложно изучить, реорганизовать и раскрыть передачу сторонних активов данных, и поэтому раскрытие информации отсутствует. Это требование заставит предприятия изучить и реорганизовать стороннюю передачу активов данных, что будет очень полезно для построения системы управления активами данных для предприятий.
 

(4) Установить правила для автоматизированного принятия решений     

Тема

Краткое изложение соответствующих статей

Правила автоматизированного принятия решений

Статья 24 Должны быть обеспечены прозрачность и справедливость; физические лица имеют право отказаться; предоставляется вариант без таргетинга на личностные характеристики физического лица

 

Как и в других законах о защите личной информации, вместо запрета автоматизированного принятия решений, PIPL устанавливает правила прозрачности, справедливости и права на отказ, подчеркивая, что «никакое необоснованное дифференцированное отношение к отдельным лицам с точки зрения цен транзакций или других условий транзакций не может реализовано», что напрямую связано с борьбой с спекуляцией большими данными. Между тем, статья 73 уточняет определение автоматизированного принятия решений. Более того, для сценариев маркетинга и push-рекламы PIPL требует, чтобы процессоры предоставляли возможность «не нацеливаться на личные характеристики человека», а также требование предоставлять пользователям право отказаться от целевой push-рекламы. Поэтому на практике разработчики продуктов должны создать механизм, с помощью которого пользователи могли бы устанавливать личные теги и профили пользователей по своему желанию, чтобы гарантировать, что люди имеют абсолютный контроль над использованием своей информации.
 

(5) Обработка конфиденциальной личной информации требует информирования лица о такой необходимости

Тема

Краткое изложение соответствующих статей

Определение конфиденциальных данных

Статья 28 Раса, религиозные убеждения, здоровье, финансовый счет, отслеживание личного местоположения и информация о несовершеннолетних.

 

Правила обработки конфиденциальных данных

Статья 29 Особое согласие должно быть получено от физического лица, а письменное согласие должно быть получено в соответствии с законом или правилами.

Статья 30 Физические лица должны быть проинформированы о необходимости и влиянии такой обработки на физическое лицо.

Статья 31 Для обработки информации о несовершеннолетних требуется согласие опекуна.

Статья 32 Если такая обработка подлежит соответствующему административному лицензированию или любому более строгому ограничению, такие положения имеют преимущественную силу.

 

PIPL определяет предпосылки для обработки конфиденциальной личной информации, предусматривая, что обработчики личной информации могут обрабатывать конфиденциальную личную информацию только при наличии «указанной цели» и «достаточной необходимости» и «принятии строгих мер для ее защиты». В соответствии с этим положением количество законных обработчиков конфиденциальной личной информации будет значительно сокращено, а большое количество сценариев с использованием информации о лице, таких как регистрация входа/выхода с распознаванием лиц и оплата, вероятно, потеряют легитимность.

Что касается концепции конфиденциальной личной информации, PIPL уточняет ее границы, объединяя общее описание и открытый список, и улавливает все, используя разные положения. Более того, PIPL прямо включает «отслеживание личного местоположения» в область конфиденциальной личной информации, что налагает большое бремя доказывания правомочности субъекта и необходимости обработки обработчиками информации о личном местонахождении.

В дополнение к информированию об общих вопросах обработка конфиденциальных данных требует информирования о содержании, включая необходимость обработки и возможные неблагоприятные последствия, а также получение специального согласия от лица. Поэтому распространенная практика представления всплывающего окна с кучей пунктов конфиденциальности для авторизации потеряет легитимность. Вместо этого обработчик должен представить отдельное всплывающее окно для специального разрешения на конфиденциальность в отношении использования конфиденциальной информации, где необходимость и возможные негативные последствия четко и подробно объясняются.
 

(6) Обработка персональных данных государственными органами должна соответствовать требованиям по локализации

Тема

Краткое изложение соответствующих статей

Правила обработки персональных данных государственными органами

Статья 34 Обработка личной информации любым государственным органом должна осуществляться в соответствии с установленными полномочиями и процедурой и не должна превышать объема или пределов, необходимых для выполнения его уставных обязанностей.

Статья 35 Государственный орган, осуществляющий обработку персональных данных, несет обязанность по информированию, за исключением случаев, когда такое информирование препятствует исполнению государственным органом его уставной обязанности.

Статья 36 Личная информация, обрабатываемая государственным органом, хранится на территории Китайской Народной Республики; если необходимо предоставить такую ​​информацию зарубежному получателю, должна быть проведена оценка безопасности.

 

Требования к локализованной обработке личной информации и предоставлению иностранному получателю государственными органами отличаются от других сценариев. PIPL выдвигает требования к локализации только при двух особых обстоятельствах, а не в общих условиях, и предусматривает, что личная информация обрабатывается «государственными органами», как это предусмотрено в этой статье. «Операторы критической информационной инфраструктуры или обработчики личной информации, обработка личной информации которых достигает порогового объема, установленного национальным органом по киберпространству», как указано в статье 40, должны храниться на территории Китая.Между тем, необходимое предоставление личной информации иностранному получателю подлежит «оценке безопасности», что является чрезвычайно высоким требованием. С точки зрения законодательной интерпретации, регламент отражает иерархическую стратегию управления «локализация предметов и сценариев высокого риска + строгое одобрение для хранения за границей, отсутствие локализации общих предметов и сценариев + гибкое одобрение для хранения за границей», что является взвешенное решение, принятое законодателями, между национальной безопасностью данных и использованием ресурсов данных.Чтобы реализовать локальное хранение данных, предприятия, предоставляющие многонациональные услуги, должны будут понести огромные затраты на обновление и развертывание серверов. Поэтому законодательным органам необходимо обеспечить дальнейшее толкование и дополнение понятий, связанных с исполнением субъектами локализации данных.
 

(7) Установление правил трансграничного предоставления персональных данных

Тема

Краткое изложение соответствующих статей

 

 

 

Правила трансграничного предоставления

Статья 38: Необходимые условия: прохождение оценки безопасности, получение соответствующих сертификатов и заключение договоров с эквивалентным уровнем защиты.

Статья 39 Обработчики должны сообщить лицу соответствующую информацию и получить его согласие.

Статья 40. Операторы критической информационной инфраструктуры или квалифицированные обработчики личной информации должны хранить информацию на территории Китая; оценка безопасности требуется, когда необходимо предоставить такую ​​информацию зарубежному получателю.

Статья 41 Необходимо оценить необходимость судебной помощи.

Статья 43 Любая страна или регион, которые принимают любые дискриминационные запреты, ограничения или любые другие подобные меры против Китайской Народной Республики в отношении защиты личной информации, могут быть объектом ответных мер, принимаемых Китайской Народной Республикой в ​​зависимости от фактическая ситуация.

 

Основной принцип трансграничной передачи в PIPL имеет китайские особенности. В других законах о защите данных, таких как GDPR, основной основой для трансграничной передачи является «эквивалентный уровень защиты». Как механизмы исключения (такие как белые списки, решения об адекватности и BCR), так и механизмы архитектуры протокола (такие как SCC) предназначены для подтверждения или гарантии того, что получатель предлагает механизмы безопасности для защиты личной информации, эквивалентные механизмам обработчика, и направлены на предотвращение утечка информации, неправомерное использование и другие инциденты. Однако основной основой для PIPL является «прохождение оценки безопасности и получение сертификата».Как «прохождение оценки безопасности, организованной национальными органами киберпространства», так и «получение сертификата защиты личной информации профессиональным учреждением в соответствии с положениями национальных органов киберпространства» должны обеспечить существенную безопасность, предлагаемую получателем. Хотя это положение вытекает из сильного контекста соблюдения нормативных требований в Китае, эта содержательная оценка получателей является более надежной и более эффективной в обеспечении информационной безопасности пользователей, чем эквивалентные требования среды соответствия. Более того, чтобы восполнить недостатки системы оценки и сертификации и учесть потребности бизнес-операций, PIPL создает более прочную правовую основу, добавляя типовое соглашение в качестве одного из условий.

В отличие от положений о трансграничной передаче в других странах, в PIPL «не указаны положения об отступлении». Большинство других законов о защите данных включают положения об отступлении от гарантий, таких как «согласие» и «необходимо для выполнения контракта».Таким образом, при отсутствии соответствующих гарантий все еще возможно осуществить передачу с явным согласием физического лица, если существуют обязательные корпоративные правила. В соответствии с PIPL не предусмотрены отступления от трансграничной передачи независимо от законного основания, поэтому передача должна соответствовать всем соответствующим предварительным условиям, отражающим законодательный принцип Китая о приоритете национальной безопасности данных.
 

(8) Физические лица имеют права в деятельности по обработке их личной информации

Тема

Краткое изложение соответствующих статей

 

 

Права субъектов данных

Статья 44 Право на получение информации, право принимать решения и право ограничивать/отказывать

Статья 45 Право на доступ или копирование

Статья 46 Право на правильное или полное

Статья 47 Право потребовать удаления в случае достижения цели, прекращения обслуживания, отзыва согласия или нарушения любого закона или соглашения.

Статья 48 Право требовать объяснений.

Статья 49 Права умершего.

Статья 50 Обработчики должны установить механизм для получения и обработки запросов от физических лиц на осуществление их прав.

 

PIPL четко определяет права физических лиц в их информационной деятельности, а виды прав существенно не отличаются от тех, что предусмотрены в законодательстве других стран.В частности, подчеркивается обязанность обработчиков информации удалять информацию по собственной инициативе при определенных условиях и обязанность установить механизм приема и обработки запросов от физических лиц для осуществления их прав. Эта часть законодательства ясна и поэтому в настоящее время не требует дальнейшего толкования. Следует подчеркнуть, что PIPL, не отставая от актуальных тем отрасли, также обеспечивает защиту прав умерших.

(9) Обработчики данных должны выполнять различные обязательства по защите информации

Тема

Краткое изложение соответствующих статей

Разработка внутренней системы управления

Система управления по статье 51 + операционные процедуры + классификация + шифрование/деидентификация + разумное разрешение + регулярное обучение + план действий в чрезвычайных ситуациях

Назначить ответственного сотрудника

Статья 52 Обработчики персональных данных, обработка персональных данных которых достигает порогового уровня, должны назначить ответственного сотрудника.

Статья 53 Обработчики личной информации за пределами территории Китая должны назначить представителя на территории Китая.

Регулярный аудит соответствия

Статья 54 Обработчики должны регулярно организовывать проверки соответствия.

Предварительная оценка риска

Статья 55 Обработчики должны проводить оценку при следующих обстоятельствах: обработка конфиденциальной информации, автоматизированное принятие решений, обработка по контракту/предоставление третьей стороне, предоставление зарубежному получателю и деятельность со значительным влиянием.Отчеты об оценке и протоколы обработки должны храниться не менее трех лет.

Реагирование на утечку информации

Статья 57 Обработчики должны уведомить физическое лицо о причине и возможном вреде утечки, мерах по исправлению положения, предпринятых обработчиком, мерах, которые может предпринять физическое лицо, и контактной информации обработчика. Обработчику может быть разрешено не уведомлять лицо, если обработчик может принять меры для эффективного предотвращения причинения вреда.

 

Различные обязательства, предусмотренные для обработчиков личной информации, являются еще одним важным моментом PIPL. С одной стороны, он создает фундаментальную основу для защиты личной информации и расширяет возможности предприятий, занимающихся обработкой личной информации, что является поучительным на нынешнем этапе, когда в Китае недостаточно осведомлены о защите личной информации. С другой стороны, он разъясняет конкретные правовые стандарты и обеспечивает относительно четкое измерение юридической ответственности и наказания.

Во-первых, статья 51 четко определяет обязательства обработчиков по безопасности. Внутренняя система управления требует, чтобы обработчики установили процедуры оперативного управления, охватывающие весь жизненный цикл обработки данных. Система управления классификацией личной информации требует, чтобы обработчики изучили и реорганизовали всю личную информацию и разработали стандарты классификации в соответствии с внутренней бизнес-экологией предприятия в соответствии с уровнем конфиденциальности информации, консультируясь с Технологией информационной безопасности — Руководство для категории и Классификация инцидентов информационной безопасности. Разумные меры безопасности требуют от обработчиков принятия соответствующих мер безопасности в соответствии с классификацией.

Во-вторых, статья 52 предусматривает, что сотрудник по защите личной информации, отвечающий за соответствующие вопросы, назначается обработчиками личной информации, отвечающими определенным условиям. Конкретный пороговый объем обработки информации подлежит дальнейшей интерпретации или регулированию.

В-третьих, статья 54 определяет требования к аудиту безопасности деятельности, выполняемой обработчиками личной информации.

В-четвертых, в статьях 55 и 56 оговариваются условия и необходимое содержание оценки рисков обработчиками, и особо указывается, что отчеты об оценке рисков и записи об обработке должны храниться не менее трех лет, обеспечивая руководство для обработчиков личной информации по оценке рисков. заранее, авансом.

Наконец, статья 57 определяет обязанности обработчиков по исправлению положения и уведомлению в случае утечки личной информации. В частности, в нем указаны ситуации, когда лица не могут быть уведомлены, т.е.д., когда обработчик может принять меры для эффективного предотвращения вреда, причиненного утечкой. Это облегчает обязательство по уведомлению обработчика без ущерба для прав человека.
 

(10) Уточнить обязанности платформы

Тема

Краткое изложение соответствующих статей

Основные обязательства

Статья 58 Создать систему соблюдения требований по защите личной информации, создать независимый орган по надзору, разработать правила платформы, прекратить предоставление каких-либо услуг сторонам, совершающим серьезные нарушения, и публиковать отчеты о социальной ответственности.

 

Четкое определение ответственности платформ — еще одна особенность PIPL. Поставщики услуг интернет-платформы имеют большую базу пользователей и относительно большое количество точек доступа, работают по сложным бизнес-сценариям, включают несколько субъектов и часто сталкиваются с высокими рисками в отношении защиты личной информации. Между тем, они также играют регулирующую и руководящую роль для поставщиков продуктовых услуг. Таким образом, четкие правила ответственности платформы со специальными положениями могут значительно облегчить контроль рисков и обучение поставщиков продуктовых услуг.Кроме того, необходимо дополнительно определить соответствующие стандарты правил платформы и системы соответствия требованиям защиты конфиденциальности для лучшей реализации PIPL.
 

(11) Определение многопрофильной системы защиты персональных данных

Тема

Краткое изложение соответствующих статей

Ответственные органы

Статья 60 Национальные органы управления киберпространством + соответствующие органы при Госсовете или органы местного самоуправления

Выполнение обязанностей

Статья 63 Опрос и расследование, доступ и копирование, осмотр на месте и проверка оборудования.

Статья 64 Власти могут провести беседу с законным представителем или главой обработчиков личной информации в случае обнаружения значительного риска.

 

PIPL разъясняет систему ответственных органов по защите личной информации. В отличие от централизованного регулирования в большинстве стран, в Китае принята общая система планирования и координации регулирования защиты личной информации.В то время как национальные органы киберпространства выступают в качестве генерального координатора, соответствующие органы при Государственном совете несут ответственность за защиту личной информации и надзор в рамках своих уставных функций, демонстрируя сбалансированный учет отраслевых различий. Соответствующие органы местного самоуправления на уровне уезда или выше выполняют функции надзора за конкретной реализацией и несут ответственность за защиту личной информации и управление надзором, демонстрируя сбалансированный учет местных различий. Интегрированная система надзора, сочетающая отраслевой и местный надзор, будет способствовать всесторонней реализации PIPL.
 

(12) Уточнить классификацию юридической ответственности

Тема

Краткое изложение соответствующих статей

Юридическая ответственность

Статья 66 Общие нарушения: Обработчикам, нарушившим PIPL, будет приказано внести исправления, конфискованы любые незаконные доходы, вынесено предупреждение; и если требуемое исправление не будет внесено, на нарушителя будет наложен штраф в размере до 1 миллиона китайских юаней; и любое ответственное лицо или любое другое лицо, непосредственно ответственное за нарушение, будет оштрафовано на сумму от 10 000 до 100 000 китайских юаней.

Серьезные нарушения: процессорам, серьезно нарушившим PIPL, будет приказано внести исправления и они будут оштрафованы; а также может быть приказано приостановить любую связанную с этим деятельность или приостановить деятельность для исправления, а также отозвать соответствующее разрешение на ведение бизнеса или лицензию на ведение бизнеса. Любое ответственное лицо или любое другое лицо, непосредственно ответственное за нарушение, будет оштрафовано.

Статья 67 Незаконная деятельность должна быть занесена в кредитные досье и обнародована.

Статья 68 Обязанности соответствующих государственных органов.

Определение ответственности

Статья 69 Обработчики личной информации несут презумпцию вины; ответственность за ущерб определяется в пределах понесенных убытков или полученных доходов; ущерб, который трудно установить, определяется судом.

Судебные иски, связанные с общественными интересами

Статья 70. Народная прокуратура и соответствующие органы могут подавать иски в интересах общества.

Административная и уголовная ответственность

Статья 71 Любое нарушение управления общественной безопасностью подлежит наказанию в соответствии с правилами управления общественной безопасностью в соответствии с законом; и любое такое нарушение, представляющее собой уголовное преступление, подлежит уголовному преследованию в соответствии с законом.

 

Что касается юридической ответственности, PIPL заимствовал нормативные принципы из GDPR.Вводя суровые наказания, он значительно увеличивает стоимость незаконных действий для обработчиков личной информации. Более того, положения PIPL имеют свои уникальные особенности.

Во-первых, PIPL разрабатывает диверсифицированные меры наказания для различных уровней нарушений (включая предупреждение, предписание об исправлении, конфискацию незаконных доходов, отзыв лицензии на ведение бизнеса, штраф и т. д.), что способствует обоснованному и точному определению наказания и сходится с наказаниями за нарушения в существующем контексте коммерческого права и административного права в Китае.PIPL также отличает общие нарушения от серьезных нарушений, что соответствует основному принципу, согласно которому юридическая ответственность должна соотноситься со степенью причиненного вреда.

Во-вторых, в PIPL указаны личные обязательства. Любое ответственное лицо или любое другое лицо, непосредственно ответственное за нарушение, подлежит штрафу, что способствует реализации PIPL с четким распределением ответственности.

В-третьих, PIPL предоставляет конкретные методы определения деликтных обязательств.Учитывая сложность предоставления доказательств для физических лиц в связи с личной информацией, он устанавливает принцип презумпции вины для определения ответственности за ущерб. Если обработчики информации не могут доказать, что они не виноваты, они несут ответственность за ущерб.

Наконец, PIPL включает личную информацию в сферу действия исков, связанных с общественными интересами, что значительно увеличивает судебный риск обработчиков.

Благодаря почти 20-летним усилиям PIPL, как наиболее важная часть китайской системы регулирования сетевых данных, наконец-то была обнародована для внедрения.PIPL заложила прочную основу для развития цифровой экономики Китая и создала фундаментальную систему, которая соответствует цифровому развитию Китая как цифровой электростанции. Между тем, благодаря комплексному развитию системы регулирования, осведомленности граждан и развитию отрасли создание системы будет способствовать дальнейшему развитию отрасли и повышению осведомленности граждан, создавая здоровую многомерную экосистему для развития цифровой экономики Китая. Кроме того, PIPL оказывает влияние на весь мир.Принимая международно признанные принципы и системы защиты личной информации, PIPL интегрирует правила защиты личной информации Китая в глобальную систему трансграничной передачи данных. Он также добился сбалансированной интеграции системных инноваций, безопасности и развития, внося свой вклад в глобальную систему трансграничной передачи данных. Мы ожидаем, что PIPL сыграет важную роль в развитии цифровой экономики как в Китае, так и во всем мире.

 

Авторы

Frank Xiao
Deloitte China Risk Advisory
Partner, Cyber ​​
Тел.: +86 10 85125858
Электронная почта: [email protected]

Ruby Shen
Deloitte China Risk Advisory
Специалист по защите данных и соблюдению конфиденциальности
Тел.: +86 10 85125731
Электронная почта: [email protected]

Игнорируйте новый китайский закон о конфиденциальности данных на свой страх и риск

989 миллионов интернет-пользователей Китая не привыкли к цифровой конфиденциальности, но, возможно, ситуация начинает меняться. 1 ноября вступил в силу первый в стране всеобъемлющий закон о конфиденциальности данных, который усилил защиту сотен миллионов потребителей.Закон изменит то, как компании в Китае ведут бизнес, но также вызовет бурную реакцию по всему миру.

Новые правила представлены в форме Закона о защите личной информации (PIPL), который налагает более строгие ограничения на то, что компании и частные лица, обрабатывающие личную информацию людей, могут делать с этими данными. Закон является последним залпом в усилиях Китая по сдерживанию ранее неконтролируемого роста своих технологических гигантов, включая оператора WeChat Tencent и ByteDance, компанию, стоящую за TikTok и Douyin.

Хотя закон может помочь остановить несанкционированную торговлю данными и кражу данных в Китае, он также тесно связан с интересами государственной безопасности и основан на последних законах о кибербезопасности и безопасности данных. Зарубежные компании, которые не соблюдают PIPL или наносят ущерб национальной безопасности Китая, могут быть помещены в черный список, что может фактически запретить им обрабатывать китайские личные данные, открывая дверь для международных ответных мер против бизнеса. В день принятия закона Yahoo закрыла несколько оставшихся сервисов, которые она работала в Китае, сославшись на «все более сложную деловую и правовую среду».LinkedIn указал на те же опасения, когда вышел из Китая в октябре.

«Когда вы смотрите на PIPL, вы видите, что она действительно сосредоточена на защите людей, общества и национальной безопасности — из-за уникальной политической системы Китая», — говорит Алекса Ли, старший менеджер по политике в Совете индустрии информационных технологий и партнер редактор проекта DigiChina Стэнфордского университета, который занимается переводом PIPL на английский язык.

Китайский закон о неприкосновенности частной жизни отражает некоторые аспекты европейского всеобъемлющего Общего регламента по защите данных (GDPR).По словам Ли, для физических лиц PIPL во многом копирует тот же язык, что и GDPR. Как PILP, так и GDPR позволяют людям получать доступ к хранящейся о них информации, запрашивать ее исправление и удаление, а также отзывать свое согласие на обработку их информации компанией. В некоторых случаях законы настолько похожи, что язык почти одинаков.

«Правительство Китая представляет большую угрозу для личной жизни, и я не знаю, затронет ли оно их».

Omer Tene, Goodwin

Для компаний существует требование защищать личную информацию людей.Компании, работающие в Китае, теперь должны нанимать сотрудника по защите данных, что резко повысило спрос на такие должности. Также из GDPR исключены возможности огромных штрафов: если компания нарушит PIPL, она может быть оштрафована на сумму до 50 миллионов юаней (7,8 миллиона долларов) или 5 процентов от ее годового дохода, что примерно эквивалентно 23 миллионам долларов США и 4-процентным пороговым значениям GDPR.

Ответственным за PIPL является Администрация киберпространства Китая (CAC), интернет-регулятор страны, который контролирует, среди прочего, список утвержденных источников новостей.Отчетность перед поддерживаемым государством регулятором резко контрастирует с независимыми европейскими регуляторами данных, которые существуют в каждой из стран блока. Хотя соблюдение GDPR было медленным, CAC может занять более строгую позицию в отношении компаний, нарушающих его законы. CAC отправила команды для проверки обработки данных гиганта DiDi, который стал публичным этим летом в Нью-Йорке.

Неизбежный недостаток китайского закона о персональных данных заключается в том, что он не мешает самому государству получить доступ к личной информации своих граждан.Люди, живущие в Китае, по-прежнему будут одними из самых контролируемых и подвергаемых цензуре на планете. «Правительство Китая представляет большую угрозу для конфиденциальности отдельных лиц, и я не знаю, затронет ли оно их», — говорит Омер Тене, партнер, специализирующийся на данных, конфиденциальности и кибербезопасности в юридической фирме Goodwin.

Политика конфиденциальности обязательна по закону

Соглашения о политике конфиденциальности требуются в соответствии с законом , если вы собираете данные, которые могут быть использованы для идентификации личности, поскольку эти данные юридически защищены рядом важных законов по всему миру, которые требуют Политики конфиденциальности в таких случаях.



Почему политика конфиденциальности требуется по закону?

Почему Политика конфиденциальности является обязательной по закону, а Положения и условия или соглашение об условиях использования не требуются по закону?

Прежде чем мы ответим на этот вопрос, давайте определим, что такое политика конфиденциальности:

В Политике конфиденциальности вы раскрываете свои методы сбора, использования и обработки персональных данных ваших пользователей. Они обеспечивают информацию и прозрачность.

Какие персональные данные являются достаточно персональными для идентификации человека? В эту категорию может попасть многое, и вот лишь несколько примеров:

  • Адреса электронной почты
  • Имя и фамилия
  • Адрес доставки или платежный адрес. Большинству магазинов электронной коммерции потребуется Политика конфиденциальности, поскольку данные каждой транзакции покупки будут включать личные данные пользователей.
  • Номера социального страхования
  • Дни рождения
  • Идентификаторы социальных сетей и изображения профилей

Анонимные данные (которые не включают персональные данные) также могут быть классифицированы как « личная информация », если они используются в связи с другим типом данных, которые могут привести к идентификации человека.Например, некоторые типы IP-адресов являются охраняемой законом личной информацией в соответствии с современными законами о конфиденциальности.

*Примечание редактора : Видео выше имеет устаревшее содержание в соответствии с законами ЕС. Содержание статьи обновлено по состоянию на 16 июля 2019 г. Приносим извинения за возможные неудобства.

Законы о конфиденциальности, требующие политики конфиденциальности

Во всех странах мира действуют законы о конфиденциальности. Вот несколько из них, которые имеют самый широкий охват и самое большое влияние на бизнес во всем мире.

Политика конфиденциальности требуется в США

В США нет федеральных законов, требующих от бизнеса наличия Политики конфиденциальности (кроме COPPA). Но есть несколько законов, включая федеральные законы и законы штатов, в которых есть положения о конфиденциальности данных.

FTC (Федеральная торговая комиссия) регулирует защиту данных для всех потребителей в США, и все следующие законы касаются конфиденциальности:

  • Закон об американцах-инвалидах
  • Закон о политике кабельных коммуникаций 1984 г.
  • Закон о защите конфиденциальности детей в Интернете (COPPA)
  • Закон о компьютерном мошенничестве и злоупотреблениях от 1986 г.
  • Закон о компьютерной безопасности от 1997 г.
  • Закон о контроле за отчетностью по потребительским кредитам
  • Закон штата Калифорния о защите конфиденциальности в Интернете (CalOPPA)
  • Закон Калифорнии о конфиденциальности потребителей (CCPA)
  • Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)
  • Закон штата Мэриленд о защите личной информации (PIPA)
  • Закон Вирджинии о защите данных потребителей (CDPA)
  • Закон штата Луизиана об уведомлении о нарушении безопасности базы данных
  • Закон Нью-Йорка «Остановить взломы и повысить безопасность электронных данных» (SHIELD)

Существуют также законы о биометрии, которые добавляют новый уровень защиты конфиденциальности и данных потребителей. Некоторые из этих законов включают:

  • Юта: Закон о конфиденциальности генетической информации (GIPA)
  • Техас: Закон о сборе или использовании биометрических идентификаторов (CUBI)
  • Аризона: HB 2478
  • Орегон: Закон о защите информации потребителей (OCIPA)
  • Штат Вашингтон: HB 1493
  • Иллинойс: Закон о конфиденциальности биометрической информации (BIPA)

Федерация потребителей Калифорнийского образовательного фонда разъясняет, что в соответствии с CalOPPA любой оператор коммерческого веб-сайта или онлайн-сервиса, собирающий через Интернет личную информацию об отдельных потребителях, проживающих в Калифорнии, должен иметь на своем веб-сайте Политику конфиденциальности:

Закон CCPA вступил в силу 1 января 2020 г.Это влияет на то, что определенные компании, работающие с жителями Калифорнии, должны раскрывать в своих политиках конфиденциальности. Здесь важна прозрачность, равно как и предоставление дополнительных прав пользователям, когда речь идет о контроле над тем, что происходит с их личной информацией.

В соответствии с CCPA компания должна раскрывать типы личной информации, которую она собирает, и как она будет использовать каждый тип. Он должен сделать это раскрытие до сбора любой личной информации.Это можно сделать с помощью информативной Политики конфиденциальности, соответствующей требованиям CCPA.

Права, которые потребители имеют в соответствии с CCPA, также должны быть раскрыты в Политике конфиденциальности любого бизнеса, подпадающего под действие CCPA.

Как и в случае с CalOPPA, для применения CCPA не имеет значения, зарегистрирована ли ваша компания или находится в Калифорнии. Если ваша компания работает с жителями Калифорнии — а это, скорее всего, так и есть, — у вас должна быть политика конфиденциальности, раскрывающая ваши методы обеспечения конфиденциальности.

Несмотря на то, что CCPA по-прежнему является ключевым законом в Калифорнии, CPRA вступит в силу 1 января 2023 г. и содержит некоторые особые требования к предприятиям, подпадающим под его действие.

CPRA расширяет требования CCPA, поэтому включает дополнительные требования и обязательства.

Политика конфиденциальности требуется в Австралии

В Австралии действует Закон о конфиденциальности 1988 года , который регулирует конфиденциальность данных. Закон Австралии о конфиденциальности от 1988 г. требует от австралийских компаний наличия Политики конфиденциальности.

Этот закон регулирует обращение с личной информацией физических лиц и упоминает сбор, использование, хранение и раскрытие личной информации.

Он объединяет 13 принципов конфиденциальности, которым должна следовать каждая компания, обязанная соблюдать Закон о конфиденциальности.

Первый принцип конфиденциальности заключается в том, чтобы иметь Политику конфиденциальности и поддерживать ее в актуальном состоянии.

Чтобы соответствовать требованиям, Политика конфиденциальности должна быть в легко подготавливаемом формате, бесплатной и содержать следующую информацию:

  • Какие виды личной информации компания собирает и хранит
  • Как эта информация собирается и хранится
  • Почему эта информация собирается, хранится и (если применимо) раскрывается третьим лицам
  • Как люди могут получить доступ и исправить любую личную информацию, хранящуюся о них
  • Как физическое лицо может пожаловаться на нарушение Принципов конфиденциальности Австралии или другого обязательного кодекса, и как жалобы будут обрабатываться
  • Может ли бизнес раскрывать личную информацию каким-либо зарубежным получателям, и если да, то страны, в которых эти получатели могут находиться, если это возможно

Политика конфиденциальности требуется в Великобритании

Закон о защите данных 1998 года (или DPA) — это закон о конфиденциальности в Соединенном Королевстве, который делает Политику конфиденциальности обязательной.

Компании, которые должны соблюдать британский закон DPA, должны следовать 8 принципам, приведенным здесь:

  • Любые личные данные пользователей должны собираться определенным и законным способом . Данные также нельзя обрабатывать каким-либо образом, несовместимым с этой целью.
  • Персональные данные, которые вы собираете, должны быть адекватными , релевантными и не чрезмерными по отношению к цели, для которой вы собираете персональные данные.
  • Персональные данные должны быть актуальными и точными .
  • Любые персональные данные, собранные у пользователей, не должны храниться дольше, чем это необходимо для цели, для которой они были собраны.

Одним из наиболее важных прав, которое DPA предоставляет резидентам Великобритании, является право получать информацию о том, как используются их данные. Именно здесь политика конфиденциальности становится важнейшим требованием. Без этого вы нарушаете права своих клиентов, не будучи информативными и прозрачными.

Если вы ведете бизнес в Великобритании, убедитесь, что вы создали информативную Политику конфиденциальности, которая раскрывает как минимум:

  • Какую личную информацию вы собираете и с какой конкретной законной целью
  • Как вы используете данные в соответствии с такой целью
  • Какие права есть у пользователей и как они могут их реализовать
  • Как долго вы храните данные, обычно
  • Как обеспечить безопасность собранных данных

Политика конфиденциальности требуется в Канаде

PIPEDA , Закон о защите личной информации и электронных документов, является основным законом Канады по защите данных пользователей.

Закон PIPEDA требует, чтобы компании из Канады имели Политику конфиденциальности , и эта политика должна быть легко читаемой и понятной. Это означает отсутствие юридического жаргона и чрезмерно сложных положений.

В соответствии с PIPEDA личная информация означает:

любая информация, позволяющая установить личность, независимо от того, зарегистрирована она или нет, и применяется к сбору, использованию и раскрытию личной информации организациями в ходе коммерческой деятельности.

Любая компания, подпадающая под сферу действия PIPEDA, обязана предоставлять общественности информацию о том, как она обрабатывает личную информацию.

По данным Управления уполномоченного по вопросам конфиденциальности Канады, наличие хорошей Политики конфиденциальности является одним из наиболее важных способов, с помощью которых бизнес может выполнить это обязательство и, в свою очередь, завоевать общественное доверие и завоевать лояльность клиентов.

Некоторые советы по политике конфиденциальности, предлагаемые Комиссаром по конфиденциальности, включают следующее:

  • Будьте очень ясны и конкретны в том, чем на самом деле занимается ваш бизнес. Убедитесь, что ваши читатели могут понять, что вы раскрываете, и что вы не просто раскрываете общие черты.Не используйте юридический язык, и будьте проще .
  • Раскройте любые варианты , которые вы предлагаете, когда речь идет о контроле пользователя над тем, как используется его личная информация. Например, если вы разрешаете отказ от рекламы в личных целях, объясните, что вы предлагаете это, и как пользователь может фактически отказаться.
  • Укажите, как пользователи могут получить доступ к какой личной информации о них у вас есть, и как они могут запросить исправление или удаление данных.
  • Обновляйте свою Политику , чтобы она всегда точно отражала ваши фактические действия.
  • Упростите связь с вами с вопросами.
  • Сделайте так, чтобы вашу Политику конфиденциальности было легко найти и получить к ней доступ .

Существует также Цифровая хартия, которая помогает людям контролировать свою личную информацию во все более цифровом мире.

Политика конфиденциальности требуется в Европейском союзе (ЕС)

Общий регламент по защите данных (GDPR) регулирует обработку персональных данных в Европейском Союзе.Этот регламент имеет строгие глобальные требования для компаний, чьи пользователи находятся в ЕС.

Одним из основных требований GDPR является наличие политики конфиденциальности, к которой легко получить доступ и которую легко понять.

Одним из основных требований GDPR является наличие политики конфиденциальности, к которой легко получить доступ и которую легко понять.

Ваша политика конфиденциальности, соответствующая GDPR, должна включать как минимум следующую информацию:

  • Какие типы личной информации вы обрабатываете
  • Как вы это обрабатываете
  • Ваше правовое основание для обработки
  • Как долго вы храните его и что происходит после периода хранения
  • Независимо от того, делитесь ли вы личной информацией с третьими лицами
  • Передаете ли вы личную информацию за границу, и если да, то какие меры безопасности у вас есть
  • 8 прав пользователя, которые есть у ваших пользователей, и способы их реализации
  • Контактная информация, по крайней мере, вашей компании, а также вашего DPO или представителя в ЕС, где это применимо

Согласие в соответствии с GDPR имеет огромное значение, поэтому, если это положение применимо к вам, вам следует ознакомиться с тем, как изменятся ваши требования к согласию.


Политика конфиденциальности требуется в Бразилии

Основным законом Бразилии о конфиденциальности является Общий закон Бразилии о защите данных (LGPD). LGPD влияет на компании по всему миру, если они собирают личную информацию от людей, находящихся в Бразилии.

LGPD требует раскрытия следующей информации через Политику конфиденциальности:

  • Для чего обрабатывается личная информация
  • Почему происходит обработка и ее продолжительность
  • Личность и контактная информация контроллера данных
  • Будет ли передаваться личная информация, и если да, то для каких целей
  • Каковы обязанности контролеров и обработчиков данных, которые будут обрабатывать личную информацию
  • Информация о правах человека в отношении его личной информации

Политика конфиденциальности требуется в Китае

Закон Китая о защите личной информации (PIPL) вступил в силу 1 ноября 2021 года. Одним из важных аспектов этого закона являются права на неприкосновенность частной жизни, которые он предоставляет отдельным лицам в Китае.

Если вы подпадаете под действие PIPL, вам необходимо раскрыть ряд сведений в рамках Политики конфиденциальности, в том числе следующие:

  • Имя и контактная информация обработчика личной информации вашей компании
  • Информация о третьих лицах, которые могут получать передачу данных
  • Какие права есть у физических лиц в соответствии с PIPL и как их реализовать
  • Какие типы личной информации вы собираете, почему вы ее собираете, как вы ее храните и как долго

Политика конфиденциальности требуется в Сингапуре, Малайзии, Южной Корее и Вьетнаме

В Юго-Восточной Азии различные национальные законы требуют от компаний наличия соглашения о политике конфиденциальности.Некоторые из этих законов включают следующее:

  • В Сингапур это Закон о защите персональных данных 2012 года (PDPA).
  • Он также называется Законом о защите персональных данных (PDPA) в Малайзии . Закон Малайзии о PDPA вступил в силу в ноябре 2013 г.
  • В Южной Корее он называется Законом о защите личной информации и вступил в силу в 2012 году.
  • В Вьетнам , это Статья 21 Закона об информационных технологиях

Поскольку на данный момент эти законы не так строги, как некоторые из ЕС и США, вы можете в значительной степени убедиться, что соблюдаете их, убедившись, что вы соблюдаете требования GDPR или CalOPPA.

Требования политики конфиденциальности в других странах мира

В мире есть ряд других стран, в которых действуют законы о конфиденциальности, требующие Политики конфиденциальности. Ознакомьтесь с нашей статьей «Законы о конфиденциальности по странам», чтобы ознакомиться с некоторыми другими законами, а также получить более полное представление о некоторых из упомянутых выше законов.

*Примечание редактора : Приведенная выше презентация имеет устаревшее содержание в отношении законов ЕС. Содержание статьи обновлено по состоянию на 16 июля 2019 г.Мы приносим извинения за все неудобства, которые могут возникнуть.

Требования политики конфиденциальности от третьих лиц

Помимо национальных законов, требующих от вас наличия Политики конфиденциальности, если вы имеете дело с личной информацией, третьи стороны также часто требуют Политики конфиденциальности.

Например, если ваше приложение собирает личную информацию, будут применяться следующие требования конфиденциальности третьих сторон:

Для всех приложений iOS требуется политика конфиденциальности. В Руководстве Apple по обзору App Store прямо указано:

.

Android-приложения имеют такое же требование в отношении наличия Политики конфиденциальности.Соглашение о распространении для разработчиков из Google Play Store требует, чтобы у вас были процедуры конфиденциальности и уведомления:

.

Даже если вы управляете простым веб-сайтом и используете только Google Analytics, вам все равно потребуется Политика конфиденциальности. Условия использования Google Analytics требуют, чтобы все пользователи Analytics имели действующую Политику конфиденциальности:

.

Политика платформы Facebook для разработчиков требует, чтобы у вас была Политика конфиденциальности для приложений Facebook, которые вы можете разрабатывать:

Если вы используете функцию «Войти через Amazon», руководство Amazon для разработчиков веб-сайтов требует, чтобы у вас была доступная политика конфиденциальности, прежде чем вы сможете использовать функцию входа:

Если сторонняя служба прямо не требует от вас наличия Политики конфиденциальности для использования службы, вы можете быть уверены, что в Условиях использования есть какой-то пункт, требующий от вас соблюдения всех применимых законов, когда с помощью сервиса.

Если ваш веб-сайт или приложение собирает личную информацию и вызывает срабатывание одного из законов о конфиденциальности, требующих Политики конфиденциальности, этот пункт потребует от вас соблюдения этого закона для использования службы. Это окольный, но эффективный способ потребовать соблюдения.

В некоторых случаях, даже если вы не собираете личную информацию, сторонняя служба может потребовать от вас включения Политики конфиденциальности, в которой указывается этот факт, просто для прозрачности.

Вам необходимо ознакомиться с законами, защищающими ваших пользователей, где бы они ни находились.Обязательно прочитайте и просмотрите любые Условия и положения или соглашения об условиях использования, чтобы узнать о любых сторонних требованиях к услугам, которые может использовать ваш веб-сайт или приложение.

Является ли новый закон Китая о конфиденциальности личной информации новым GDPR?

Новый китайский закон о защите личной информации (PIPL) — первый всеобъемлющий закон в Китае о защите личной информации физических лиц в Китае — вступит в силу 1 ноября. Учитывая, что Китай составляет почти пятую часть населения мира, этот означает, что нормативно-правовая база конфиденциальности PIPL скоро будет применяться к каждому пятому человеку на планете.

Учитывая масштабы применения PIPL, компании, работающие по всему миру, не могут его игнорировать.

Новый закон следует за Законом о безопасности данных (DSL), который был принят в июне, устанавливая правила о том, как компании должны классифицировать собранные данные на основе их экономической ценности и потенциального влияния на национальную безопасность. Вместе принятие PIPL и DSL является частью общего ужесточения правил китайского правительства в отношении сбора и обмена данными.

Когда в 2018 году вступил в силу Общий регламент ЕС по защите данных (GDPR), он стал самым строгим всеобъемлющим регламентом по защите данных в мире и установил новый глобальный стандарт защиты данных. Хотя в некоторых аспектах PIPL кажется основанным на GDPR, между этими двумя системами защиты конфиденциальности существуют существенные различия.

Какие компании должны соблюдать PIPL?

PIPL применяется к компаниям, которые обрабатывают (т. е. обрабатывают) персональные данные физических лиц в Китае. Для компаний, которые работают за пределами Китая, закон будет применяться, если целью обработки является (а) предоставление товаров или услуг тем, кто находится в Китае, (б) анализ или оценка деятельности физических лиц в Китае или (в) другие обстоятельства, предусмотренные в соответствии с законами и административными правилами.

Сфера применения PIPL, по-видимому, основана на GDPR в том смысле, что она применяется экстерриториально к компаниям, которые предлагают товары или услуги лицам или отслеживают поведение охватываемых лиц. Однако общая сфера применения может быть шире, чем GDPR, поскольку PIPL оставляет за китайскими регулирующими органами широкие полномочия по определению других обстоятельств, в которых применим PIPL.

Основа для обработки данных

Как и GDPR, PIPL устанавливает определенные права физических лиц в отношении их персональных данных, а также требование к компаниям иметь надлежащую правовую основу для обработки персональных данных физических лиц. Однако правовые основы обработки данных в соответствии с PIPL по сравнению с GDPR для компаний заметно уже, а регулятор оставляет за собой более широкие полномочия.

В частности, PIPL не предусматривает законных интересов в качестве обоснованной основы для обработки данных, на которую предприятия часто ссылаются как на правовую основу в соответствии с GDPR.Скорее, помимо согласия, в соответствии с PIPL компании могут обрабатывать данные только в узко определенных обстоятельствах.

Следует отметить, что в соответствии с PIPL требуется отдельное согласие, независимо от первоначальной основы обработки, в случае раскрытия личной информации третьей стороне, обработки «конфиденциальной» личной информации или международной передача личной информации.

Передача данных

Как и GDPR, PIPL устанавливает ограничения на трансграничную передачу данных.

В соответствии с PIPL компания может передавать личные данные за пределы страны только в том случае, если она соответствует одному из следующих условий: (a) если она прошла оценку безопасности Администрацией киберпространства Китая (CAC), (b) прошла проверку сертификация защиты личной информации от специализированного регулирующего органа, (c) заключает договор в соответствии со стандартным договором, сформулированным CAC, или (d) делает это в соответствии с другими законами или правилами, установленными CAC.

По сравнению с GDPR, PIPL предоставляет CAC значительную свободу действий в регулировании и разрешении (или ограничении) международной передачи данных. Вполне вероятно, что мы увидим аналог PIPL стандартных договорных положений ЕС в качестве шаблона для использования в международной передаче данных.

Кроме того, в соответствии с DSL, если компания считается оператором критической информационной инфраструктуры (CII), в широком смысле определяемой как инфраструктура, которая может серьезно угрожать национальным или общественным интересам, тогда CII будет обязан хранить данные локально в Китае.Компания, которая не является CII, но обрабатывает личную информацию «в объеме, который достигает порога, указанного CAC», также будет обязана хранить данные локально.

Штрафы за несоблюдение

Как PIPL, так и GDPR предусматривают крупные штрафы за нарушение законов в зависимости от годового дохода компании, при этом штрафы PIPL составляют до 50 миллионов юаней (около 7,76 миллиона долларов США) или 5% от годового дохода компании до финансовый год за «серьезные нарушения» и штраф в размере до 1 миллиона юаней (около 155 000 долларов США) за менее серьезные нарушения.

Однако, в отличие от GDPR, PIPL дополнительно предусматривает личную ответственность «ответственного персонала» внутри компании. В соответствии с PIPL виновные лица могут быть оштрафованы на сумму от 10 000 до 100 000 юаней (от 1 500 до 15 500 долларов США) за менее серьезные нарушения и от 100 000 до 1 миллиона юаней (от 15 500 до 155 000 долларов США) за «серьезные» нарушения, и ответственные лица также могут быть оштрафованы на запрещается занимать руководящие должности в компании в течение определенного периода.

Что это значит?

PIPL во многих отношениях является более строгим, чем GDPR, и, в отличие от GDPR, предоставляет правительству значительную свободу действий в отношении персональных данных и продвижения интересов национальной безопасности.

С принятием PIPL Китай заявил о своем намерении «активно участвовать» в разработке регулирования защиты конфиденциальности данных потребителей. CAC, вероятно, будет активно применять PIPL и DSL в рамках более масштабного подавления технологических платформ, происходящего в настоящее время.

Оставить комментарий

Ваш адрес email не будет опубликован.