152-ФЗ о персональных данных с изменениями на 2021 год — PDMaster.ru
Подробная информация об изменениях законодательства в области защиты персональных данных
Проконсультироваться у эксперта
«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»
Что же такое согласие на обработку персональных данных?
Персональные данные (также — ПД или ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К ней относятся: серия и номер паспорта, сведения о рождении, адрес постоянной регистрации и проживания субъекта, а также контактный номер телефона и другие идентификаторы, позволяющие идентифицировать лицо. На сегодняшний день к ПД можно отнести информацию о паролях и кодах к страницам социальных сетей людей и адрес электронной почты. Важным фактом остаётся и сохранность пароля от банковских карт, которые сейчас очень часто оказываются в руках мошенников.
Главной целью закона 152-ФЗ является гарантирование защиты прав и свобод человека и гражданина при обработке его персональных данных, обязательно защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Основная характеристика закона.
Основной характеристикой 152-ФЗ является его направленность на защиту персональных данных субъекта от несанкционированного доступа к ним и предотвращение незаконной обработки. Основная проблема на сегодняшний день — это использование личных данных человека незаконным путем.
Вышеуказанные сведения о субъекте персональных данных относятся к индивидуальной информации. Частично ответственность за их распространение можно возложить и на самого владельца таковых, поскольку нередко человек дает согласие на обработку непроверенным операторам (Подробнее). Однако даже на первый взгляд внушающие доверие организации и их сотрудники допускают промахи. Для того чтобы обезопасить эту информацию, органы власти принимает различные меры, в рамках которых операторы по обработке ПДн, получившие данные от физического лица, должны нести за их полную сохранность.
Другими словами, 152-ФЗ о персональных данных принимался с целью обезопасить распространение информации о персональных данных граждан без их согласия на это. Именно поэтому главным его правилом остаётся понятие о том, что оператор — это тот человек, который отвечает за всю конфиденциальность полученной информации.
Изменения на 1 января 2019 года (актуально в 2020)
Сам закон содержит в себе 25 статей. В 2017 году правительство страны хотело ввести новые изменения в текст, но они так и не были оформлены официально. Несмотря на это, 2019 год принёс более существенные правки, некоторые из которых уже вступили в законную силу: был расширен список нарушений, за которые предусмотрена административная ответственность, а также на порядок был увеличен размер. Тут основная задача оператора по обработке ПДн остается прежней — понять, как же не нарушить правовые нормы законодательства и не стать мошенником.
Краткий обзор изменений в 2021 году мы рассматривали по ссылке ниже
youtube.com/embed/RinKLxrm3N4″ frameborder=»0″ allow=»accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture» allowfullscreen=»»> Ситуации применения законодательства.
С января 2019 года список нарушений, которые предусматривают ответственность, следующий:
- обработка данных физического лица без соотношения с главными целями;
- при обработке личных персональных данных отсутствует согласие на ее проведение;
- ненадлежащее информирование человека о полной политике получения и
- обработки личной информации или полное отсутствие информирования;
- неознакомление человека с информацией об обработке личных данных;
- личная информация была получена незаконным путем;
- в случае, когда удаляются или уничтожаются личные данные;
- неправильное выполнение обезличивания.
При исполнении одного из перечисленных нарушений оператору по обработке ПД может быть вменено административное или уголовное наказание (согласно ст.
Регулирование отношений.
Органы власти в настоящий момент могут регулировать все отношения, которые касаются любых действий с персональными данными в соответствии с законом. Конечно, в этом вопросе есть свои исключения, по которым оператор и субъект имеют отдельные отношения. К ним можно отнести:
обработку персональной информации для заключения трудового договора, получение при его заключении информации и использование её строго в пределах контрактов;
когда полученные данные можно отнести к общедоступным;
в случае, если личные данные — это фамилия, имя и отчество человека;
ситуации, когда необходимо создать одноразовый пропуск на посещение территории.
Все остальные ситуации должны рассматриваться под контролем Роскомнадзора.
Последняя редакция закона 152-ФЗ.
Для избежания ситуаций несанкционированного разглашение личной информации необходимо ее обезопасить. Июль 2019 года принёс следующее: государство приняло решение приравнять генетический материал к личной информации. Главная цель такого изменения заключается в сохранности полной информации, которая касается любой генетической информации физического лица.
16 февраля 2019 года стало известно о том, что государство приняло конкретные правила по контролю за любой обработкой личных данных. Согласно ним, весь контроль за передачей и обработкой информации будет осуществляться посредством Роскомнадзора и его органов. Под этим подразумевается проведение различных мер по проявлению нарушений со стороны операторов, а также их устранение и профилактика выявления нарушений.
Кроме того, операторы по обработке могут быть предупреждены о приближающейся проверке за три рабочих дня, а в случае, если необходимо внепланово — за сутки. Описан свод правил, по которому может осуществляться проверка, как правильно заполнять документацию после проведения контроля, а также обо всех досудебных обжалованиях.
20 января 2019 года появилась информация, что Роскомнадзор начал заводить дела в от отношении корпораций Twitter и Facebook, поскольку они не соблюдают все правила, которые прописаны в законодательстве о защите конфиденциальной информации.
Таким образом, можно сделать вывод, что право человека на полную защиту его персональных данных полностью охраняются законодательством РФ. При любом нарушении мошенников ждет административная либо уголовная ответственность. За любое действие по передаче индивидуальной информации ответственность несет только оператор.
Обращаем внимание, если Вы все еще сомневаетесь в актуальности закрепленных процессов по работе с персональными данными или у Вас есть вопросы по разработке документов — Вы всегда можете обратиться за консультацией в форме ниже.
Здесь можно задавать свои вопросы
«Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»
Что нужно знать бизнесу о защите персональных данных
Иллюстрация: Право.
ru/Петр Козлов
Изменения и тенденции
В 2022 году вступили в силу существенные изменения закона «О персональных данных». Поправки внесли в 15 из 29 статей, подсчитал Станислав Румянцев, старший юристГородисский и Партнеры
Городисский и Партнеры
Федеральный рейтинг.
группа
Интеллектуальная собственность (Консалтинг)
группа
Интеллектуальная собственность (Регистрация)
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
ТМТ (телекоммуникации, медиа и технологии)
Все изменения, по его словам, носят точечный характер и разъясняют много вопросов из практики.
Румянцев подробнее остановился на самых ключевых изменениях. Так, операторам связи придется чаще уведомлять Роскомнадзор. Раньше нужно было сообщать об обработке персональных данных, но были и исключения. Согласно поправкам, большинство из исключений убрали.
С начала сентября 2022-го компании обязаны сообщать Роскомнадзору об утечках. Оператор должен сделать это в течение 24 часов, рассказала Екатерина Ефимова, начальник отдела организации контрольно-надзорной деятельности управления по защите прав субъектов персональных данных Роскомнадзора.
ПрактикаВ России не было единой методики подсчета интернет-аудитории, но с 1 октября 2021 года действует ст. 12.2 закона «Об информации» («Особенности исследования объема аудитории информационных ресурсов в сети «Интернет»). Его называют законом об исследовании аудитории интернета.
Подробнее о нем рассказал Михаил Хохолков, руководитель практики «Медиаправо» INTELLECT (ИНТЕЛЛЕКТ)
INTELLECT (ИНТЕЛЛЕКТ)
Федеральный рейтинг.
группа
Цифровая экономика
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
Интеллектуальная собственность (Регистрация)
группа
ТМТ (телекоммуникации, медиа и технологии)
15место
По количеству юристов
24место
По выручке на юриста (более 30 юристов)
40место
По выручке
Профайл компании
Он отметил, что изучается обширный пласт информации: сведения о каждом факте доступа к информационному ресурсу с указанием времени, типа использованного оборудования и браузера.
Хохолков заметил, что пока закон работает точечно. Есть реестр интернет-ресурсов, чью аудиторию исследуют. В него попали четыре новостных агрегатора, восемь соцсетей, 26 зарегистрированных СМИ. При этом Хохолков отметил, что норма позволяет мониторить практически любой информационный ресурс, аудитория которого больше 1000 пользователей в месяц. Даже если это не самый популярный юридический блог, то он может набрать столько просмотров, уверен эксперт. «Пока не выглядит страшно, но непонятно, что будет в будущем», — признал Хохолков.
Артем Дмитриев, руководитель практики IP, Tech & Privacy Comply
Comply
Федеральный рейтинг.
, рассказал, что в их компании исследовали, как менялось законодательство, связанное с персональными данными почти в 15 странах с 2019 года. Это помогло выявить тренды в том, как меняется регулирование. В частности, повышается контроль, в том числе за утечками данных.
Наверное, в следующем году активно будет обсуждаться и уголовная ответственность за утечки персональных данных, что делает вопрос более острым.
Артем Дмитриев
Дмитриев отметил еще одну тенденцию: государство получает больше доступа к процессам бизнеса, и, собственно, больше возможностей для контроля бизнеса. Так, эксперта заинтересовала инициатива Минцифры о предоставлении субъектам персональных данных права отзывать согласие на их обработку через «Госуслуги». Очевидно, когда такая возможность для граждан будет запущена, государство получит возможность контролировать, кто какой запрос направил и отреагировал ли бизнес на этот запрос или нет, уверен эксперт.
Советы для бизнеса
Законодательство меняется, и бизнесу нужно знать, как себя защитить. Подробнее об этом рассказал Максим Лагутин, исполнительный директор юридической компании «Б-152». Мало лишь создать политику обработки персональных данных и положение об обработке для работников и согласия.
Лагутин предлагает всегда назначать ответственного за персональные данные, а еще провести инвентаризацию обработки персональных данных и информационных систем. Это нужно, чтобы понимать, куда уходят данные, и выявить возможные риски утечки. Потом разработать дорожную карту по исправлению выявленных замечаний. По мнению Лагутина, еще бизнесу нужно выстроить порядок реагирования на запросы физлиц.
С 1 марта 2023 года у нас будет десять рабочих дней, чтобы отреагировать на запрос. А сейчас 30 дней. То есть в три раза больше.
Максим Лагутин
А еще Лагутин советует заранее определить, какие действия нужно предпринять в случае отзыва согласия или утечки данных.
Свои рекомендации бизнесу дала и Баира Бембеева, старший юрист цифровой группы Пепеляев Групп Пепеляев Групп Федеральный рейтинг. группа Антимонопольное право (включая споры) группа Арбитражное судопроизводство (средние и малые споры — mid market) группа ВЭД/Таможенное право и валютное регулирование группа Земельное право/Коммерческая недвижимость/Строительство группа Интеллектуальная собственность (Регистрация) группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Налоговое консультирование и споры (Налоговые споры) группа Трудовое и миграционное право (включая споры) группа Цифровая экономика группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Природные ресурсы/Энергетика группа Фармацевтика и здравоохранение группа Финансовое/Банковское право группа Экологическое право группа Банкротство (включая споры) (mid market) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа ТМТ (телекоммуникации, медиа и технологии) С учетом вступивших изменений она советует:
- провести аудит локальных нормативных актов, которые посвящены персональным данным;
- добавить в них данные о целях обработки персональных данных;
- исходя из целей определить способы, сроки их обработки и хранения;
- включить в локальные нормативные акты порядок уничтожения таких сведений.
Дмитрий Зыков, руководитель практики правовой защиты информации Технологии Доверия (ранее PwC в России)
Технологии Доверия (ранее PwC в России)
Федеральный рейтинг.
группа
ТМТ (телекоммуникации, медиа и технологии)
группа
ГЧП/Инфраструктурные проекты
группа
Интеллектуальная собственность (Консалтинг)
группа
Налоговое консультирование и споры (Налоговые споры)
группа
Природные ресурсы/Энергетика
группа
Трудовое и миграционное право (включая споры)
группа
Фармацевтика и здравоохранение
группа
ВЭД/Таможенное право и валютное регулирование
группа
Комплаенс
группа
Корпоративное право/Слияния и поглощения (mid market)
группа
Налоговое консультирование и споры (Налоговое консультирование)
группа
Частный капитал
группа
Арбитражное судопроизводство (средние и малые споры — mid market)
8место
По выручке
9место
По выручке на юриста (более 30 юристов)
9место
По количеству юристов
, рассказал о ситуациях, когда по закону необходимо уничтожить персональные данные: компания достигла цели обработки, или утратила такую необходимость, или выявлен факт неправомерной обработки, или согласие на обработку отозвали.
Зыков рассказал, что оператор заранее должен предусмотреть порядок уничтожения персональных данных. Часто юристы советуют назначать комиссию, ответственную за это. Зыков говорит, что это может быть постоянно действующая комиссия либо можно собираться при необходимости.
Единственная рекомендация — включать в состав комиссии лицо, ответственное за организацию обработки персональных данных. Потому что, как правило, именно это лицо будет взаимодействовать с Роскомнадзором, когда тот начнет спрашивать: «Как вы уничтожили персональные данные?»
Дмитрий Зыков
Зыков говорит, что важно после уничтожения как-то зафиксировать этот факт. Это можно сделать, оформив акт или сделав запись в специально созданном для этого журнале.
Василий Зуев, руководитель практики «Интеллектуальная собственность» Интеллектуальный капитал
Интеллектуальный капитал
Федеральный рейтинг.
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
Интеллектуальная собственность (Регистрация)
группа
Арбитражное судопроизводство (средние и малые споры — mid market)
, рассказал о системе защиты коммерчески значимой информации.
По его словам, некоторые сведения нельзя отнести к коммерческой тайне и отказаться их предоставлять. Например, сведения об аккредитациях и лицензиях, о задолженности работодателей по выплате зарплаты, а для некоммерческих организаций еще и о размерах и структуре доходов. А вот коммерческой тайной можно признать сведения о предметах и целях совещаний, стратегии рекламных мероприятий, о подготовке к судебным спорам.
Эксперт рассказал и о способах защиты таких сведений. Наиболее востребованные — соглашение о неразглашении и пункт договора о том, что его конкретные сведения нельзя сообщать третьим лицам. При этом за нарушение предусматривается неустойка.
Грядущие изменения
С 1 марта 2023 года операторам связи придется сообщать Роскомнадзору о трансграничной передаче персональных данных. Пока не до конца ясно, как будут действовать поправки, и рынок частично находится в неведении. Поэтому Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Клифф
Клифф
Федеральный рейтинг.
группа
Интеллектуальная собственность (Регистрация)
группа
Налоговое консультирование и споры (Налоговое консультирование)
группа
Частный капитал
группа
Интеллектуальная собственность (Защита прав и судебные споры)
группа
Интеллектуальная собственность (Консалтинг)
группа
Корпоративное право/Слияния и поглощения (mid market)
группа
ТМТ (телекоммуникации, медиа и технологии)
12место
По количеству юристов
25место
По выручке на юриста (более 30 юристов)
44место
По выручке
, ждет, что до вступления новых правил в силу Роскомнадзор выпустит какие-то разъяснения.
Порядок передачи зависит от того, обеспечивает ли страна адекватную защиту прав субъектов персональных данных. 23 сентября этого года Роскомнадзор сообщил, что утвердил перечень таких государств — в него вошли 89 стран. Если государство не включено в этот список, то нужно получать разрешение на трансграничную передачу персональных данных. А когда страна вошла в реестр, достаточно лишь уведомить РКН.
Минцифры предлагает ужесточить ответственность юрлиц за утечки персональных данных клиентов — ввести оборотные штрафы в зависимости от выручки компании. Пока законопроекта нет в публичном доступе, говорит Мария Самарцева, советник, глава практики защиты интеллектуальной собственности Рыбалкин, Горцунян, Дякин и Партнеры Рыбалкин, Горцунян, Дякин и Партнеры Федеральный рейтинг. группа Банкротство (включая споры) (high market) группа Международные судебные разбирательства группа Международный арбитраж группа Арбитражное судопроизводство (крупные споры — high market) группа Корпоративное право/Слияния и поглощения (high market) группа Антимонопольное право (включая споры)
Появилась некая тенденция, связанная с утечками данных.
Если раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит чаще извне, чтобы каким-то образом причинить репутационный вред компании.
Мария Самарцева
Только за три летних месяца этого года в сеть попало не менее 140 баз данных российских организаций, привела данные Самарцева. Основная причина успешных сливов — несовершенство технической базы. Поэтому, по ее словам, инициатива была ожидаемой. Аналогичные штрафы для компаний есть и в других странах.
Еще один штраф за чрезмерное хранение данных
Третий регулирующий орган недавно предложил согласие, которое включает штраф в размере 500 000 долларов США, частично основанный на чрезмерном хранении компанией личных данных дольше, чем это было необходимо. Первым регулятором стал французский орган по защите данных CNIL в 2021 году, о котором мы писали здесь. Вторым регулятором был генеральный прокурор Нью-Йорка в январе 2022 года, которого мы описали здесь. И третья — Федеральная торговая комиссия США, которая 15 марта выдала предложение о согласии с нынешними и бывшими владельцами CafePress9.0003
Фон
Этот вопрос немного сложен, поскольку согласие FTC распространяется как на бывшего, так и на нынешнего оператора платформы CafePress и включает личную информацию клиентов, которые приобрели персонализированные товары на платформе CafePress, а также личную информацию (включая номера социального страхования) продавцов, которые продавали товары на платформе CafePress. 1 сентября 2020 года PlanetArt приобрела практически все активы CafePress у Residual Pumpkin (бывший владелец).
С июня 2018 г. по февраль 2020 г. веб-сайт CafePress содержал политику конфиденциальности, в которой говорилось, что платформа использовала «физические, технические и административные меры безопасности для защиты конфиденциальности информации, которую мы собираем», хотя политика конфиденциальности предупреждала, что «100% полной безопасности в настоящее время не существует ни онлайн, ни офлайн». CafePress включил в свои ответы по электронной почте на часто задаваемые вопросы потребителей: «CafePress.com также обязуется использовать лучшие и наиболее общепринятые методы и технологии для обеспечения [sic] вашей личной информации в безопасности». CafePress также заверил продавцов в ответах по электронной почте на часто задаваемые вопросы продавцов, что «ваша информация будет в безопасности». Кроме того, CafePress заявила, что это соответствует требованиям США-ЕС. Щит конфиденциальности.
Согласно жалобе FTC, CafePress «не смогла обеспечить разумную безопасность личной информации, хранящейся в ее сети». Среди методов, перечисленных FTC, CafePress хранил личную информацию, включая номера социального страхования продавцов, в виде четкого, читаемого текста; «не смог разумно отреагировать на инциденты безопасности»; и «создали ненужные риски для личной информации , храня ее на неопределенный срок в своей сети без деловой необходимости ». (курсив поставлен)
В жалобе FTC также говорится, что в феврале 2019 года хакер воспользовался уязвимостью в системе безопасности, нашел и похитил личную информацию, хранящуюся в сети CafePress, в том числе более 180 000 незашифрованных номеров социального страхования, а также миллионы незашифрованных имен, адресов. контрольные вопросы и ответы. Затем информация была выставлена на продажу в даркнете. Месяц спустя сторонний исследователь связался с CafePress по поводу кражи и продемонстрировал уязвимость системы безопасности. Компания исправила уязвимость, но не уведомляла пострадавших до сентября 2019 года.. Компания также столкнулась с другими инцидентами безопасности, включая заражение вредоносным ПО и взломы торговых счетов. Компания также была уведомлена иностранным правительством о том, что ее данные были проданы «кардерам».
Кроме того, в отношении Privacy Shield в жалобе утверждалось, что компания деактивировала учетные записи пользователей, когда получила запросы от жителей Европейского Союза об удалении информации, а не об удалении самой информации. «Из-за несоблюдения запросов на удаление информация от многих потребителей, которые запрашивали до февраля 2019 г.нарушение того, что [бывший владелец] удалит свою информацию, которая была раскрыта в результате нарушения».
В жалобе утверждалось, что перечисленные действия были недобросовестными или вводящими в заблуждение действиями в нарушение раздела 5 Закона о Федеральной торговой комиссии.
Предлагаемое согласие
Каждый из двух ответчиков заключил отдельные предлагаемые согласия с FTC. Ни один из ответчиков не признает и не отрицает утверждения, содержащиеся в жалобе. Мы отмечаем, что каждое предлагаемое согласие определяет «личную информацию» как включающую не только информацию, обычно используемую в законах об уведомлении о нарушениях безопасности, но также «постоянный идентификатор, такой как номер клиента, хранящийся в «куки», статическом интернет-протоколе (« IP»), идентификатор мобильного устройства или серийный номер процессора». FTC также предлагает определить «потребителя» как «любое физическое лицо, которое является или стремится стать сотрудником, должностным лицом или независимым подрядчиком Ответчика». Одно различие между двумя согласиями заключается в том, что бывший владелец согласился заплатить FTC 500 000 долларов.
Что касается методов хранения данных, предлагаемое согласие запрещает каждому ответчику искажать «методы удаления и хранения информации».
Каждый ответчик также должен будет в течение 60 дней создать комплексную программу информационной безопасности, которая включает политики и процедуры, «минимизирующие сбор, хранение и хранение данных, включая политики и процедуры удаления или хранения данных». Предложенное согласие сроком на 20 лет также включает в себя мониторинг соблюдения требований, оценки третьих сторон и отчетность перед Федеральной торговой комиссией.
Комментарии должны быть получены FTC не позднее 21 апреля 2022 г.
Наш взгляд
Очевидно, что FTC обнаружила серьезные недостатки в программе обеспечения безопасности данных CafePress. Как мы отметили в начале, FTC присоединяется к растущему списку регулирующих органов, которые целенаправленно подчеркивают чрезмерное хранение данных как свою собственную независимую проблему конфиденциальности и причину выплаты 500 000 долларов. Хотя можно утверждать, что некоторые из других сбоев были более вопиющими с точки зрения конфиденциальности, чем чрезмерное удержание, похоже, что FTC может устанавливать будущие дела, когда она может полагаться на чрезмерное удержание как на причину для штрафа организации.
.
Важно отметить, что дело было не только в том, что CafePress чрезмерно хранила личную информацию, но и в том, что у него не было плана по устранению проблемы, и, по сути, он хранил данные в течение неопределенного времени без каких-либо коммерческих целей. FTC считает, что такая степень чрезмерного удержания противоречит обещанию CafePress использовать «лучшие и наиболее приемлемые методы и технологии» для защиты данных своих клиентов. Даже там, где получение существенных данных в ближайшем будущем сложно или невозможно, компании могут улучшить свое положение, имея рабочую структуру и путь к существенному завершению.
Norton Rose Fulbright LLP © 2022. Все права защищены.
Дизайн и платформа юридического блога от LexBlog
Влияние законов о защите данных на график хранения ваших записей — журнал ARMA
Крайне важно, чтобы график хранения вашей организации соответствовал требованиям к защите данных в юрисдикциях, в которых работает ваша организация.
Эта задача может показаться непосильной, поскольку юрисдикции по всему миру принимают новые законы, правила и требования; и организации продолжают расширять свою юрисдикцию. Цель этой статьи — устранить опасения и страх перед внутренними и глобальными законами о защите данных и показать, насколько эти законы и требования соответствуют существующим целям вашего графика хранения записей и политики управления информацией.
Определение и назначение графика хранения документации
График хранения документации является основополагающим документом для программы управления документацией. График хранения записей — это политика, определяющая типы записей, созданных и/или сохраненных организацией. Эти записи обычно группируются по функциям или отделам, а затем описываются как отдельные записи или группируются вместе в категории записей. Затем график хранения записей определяет срок хранения этих записей. После того, как запись сохраняется в течение определенного периода хранения, запись удаляется.
В дополнение к соблюдению требований законодательства, связанных с хранением записей, график хранения записей учитывает потребность организации в сохранении ценной информации и уничтожении записей, которые практически не представляют никакой ценности. При этом организация сохраняет необходимую бизнес-информацию, экономя при этом деньги и ресурсы за счет избавления от ненужной информации, которая в противном случае привела бы к увеличению стоимости хранения, переноса данных и судебных разбирательств.
Введение в законы о защите данных
Законы, положения и правила о защите данных регулируют сбор, использование, передачу и хранение личной и конфиденциальной информации. Требования по защите персональных данных могут быть изданы федеральными, государственными (провинциальными) или местными органами власти. В некоторых случаях законы или требования предназначены для конкретных отраслей регулирующими органами или неправительственными бизнес-ассоциациями.
Страны и организации Европейского союза (ЕС) должны соблюдать требования Общего регламента по защите данных (GDPR) 1 Общий регламент по защите данных . 2016. 2016/679 (ЕС, 27 апреля). Многие страны за пределами ЕС создали и внедрили свои собственные законы о защите данных, аналогичные GDPR 2 DLA Piper. Мировые законы о защите данных . По состоянию на 13 марта 2022 г. https://www.dlapiperdataprotection.com/.. Например, в Канаде действует Закон о защите данных 3 Закон о защите личной информации и электронных документов (PIPEDA) . 2000. SC 2000, c. 5 (Сенат и Палата общин Канады, 13 апреля). и в настоящее время рассматривает новый закон о защите данных, который налагает еще больше ограничений на хранение и использование персональных данных, чем GDPR 9.
0069 4 Закон о защите прав потребителей. 2020. Законопроект C-11, гл. 53n (Палата общин Канады, 2 декабря)..
В Соединенных Штатах нет федерального закона о защите данных, защищающего всех потребителей. В некоторых секторах, таких как банковское дело, финансовые услуги, здравоохранение и страхование, действуют собственные требования к защите данных и конфиденциальности. Совсем недавно правительства штатов начали применять законы о защите данных, соответствующие глобальным требованиям или аналогичные им. Эти штаты включают Калифорнию, 5 Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA). 2023. Кал. Гражданский Кодекс § 1798.105 (штат Калифорния, действует с 1 января 2023 г.). Колорадо 6 Закон штата Колорадо о конфиденциальности. 2023. Colo. Rev. Stat.
§ 6-1-1308 (штат Колорадо, вступает в силу с июля 2023 г.) и Вирджиния 7 Закон штата Вирджиния о защите данных потребителей . 2023. § 59.1-577 (Штат Вирджиния, вступает в силу с 1 января 2023 г.), при этом другие штаты рассматривают аналогичные законы о защите данных.
Понимание изменений
Все эти законы, постановления и правила поначалу могут показаться непреодолимыми. Существует много законов о защите данных, и они, похоже, меняются быстрыми темпами. Однако законы и требования сближаются в подходах и требованиях и работают для достижения конечной цели графика хранения записей; сохранять ценные записи и избавляться от информации, имеющей небольшую ценность или не имеющей никакой ценности.
Что касается графика хранения записей, организации могут рассматривать четыре конкретных области. Эти области относительно согласуются между юрисдикциями и между различными законами.
Эти четыре области следующие:
- Определение персональных данных : Личная информация обычно определяется как « любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. ” 8 Общие положения о защите данных. 2016. 2016/679, ст. 4 (ЕС, 27 апреля). Это определение GDPR, и другие страны имеют аналогичные широкие определения персональных данных.
- Ограниченное хранение персональных данных : Одной из целей законов о защите данных является ограничение времени хранения персональных данных. Хотя некоторые страны предоставляют конкретные рекомендации по срокам хранения, большинство законов гласят, что хранение должно быть ограничено «не дольше, чем это необходимо». 9 Ид ., ст. 5(е).
- Запросы субъектов данных : Физические лица имеют право знать, какую личную информацию хранит организация, и они имеют право запросить удаление этих данных, если для сохранения этой информации нет законной цели. Запрос субъекта данных — это действие физического лица, направленное на осуществление этого права, и организация обязана ответить на этот запрос. 2023. Кэл. Гражданский Кодекс § 1798.105 (штат Калифорния, действует с 1 января 2023 г.). 11 Общий закон Бразилии о защите данных (LGPD). 2018 г. Закон № 13.709, статья 19 (Бразилия, 14 августа). записи видео/звонков). Типичные примеры того, когда организации были оштрафованы или привлечены к судебной ответственности, касались политик, которых не существует, которые устарели или не применяются; нежелательный маркетинг с использованием персональных данных; ненадлежащее использование камер наблюдения; неспособность отвечать на запросы субъекта данных; или неадекватные ответы на утечки данных, связанные с личными данными. 12 Отслеживание соблюдения GDPR. По состоянию на 3 марта 2022 г. https://www.enforcementtracker.com.
Запрос субъекта данных — это действие физического лица, направленное на осуществление этого права, и организация обязана ответить на этот запрос. 2023. Кэл. Гражданский Кодекс § 1798.105 (штат Калифорния, действует с 1 января 2023 г.). 11 Общий закон Бразилии о защите данных (LGPD). 2018 г. Закон № 13.709, статья 19 (Бразилия, 14 августа). записи видео/звонков). Типичные примеры того, когда организации были оштрафованы или привлечены к судебной ответственности, касались политик, которых не существует, которые устарели или не применяются; нежелательный маркетинг с использованием персональных данных; ненадлежащее использование камер наблюдения; неспособность отвечать на запросы субъекта данных; или неадекватные ответы на утечки данных, связанные с личными данными. 12 Отслеживание соблюдения GDPR.
По состоянию на 3 марта 2022 г. https://www.enforcementtracker.com.Приведение графика хранения документации в соответствие с законами о защите данных
Теперь, когда вы понимаете, что законы и требования во многих юрисдикциях объединяются, ваша организация может предпринять следующие действия, чтобы обеспечить соответствие графика хранения документации требованиям защиты данных законы.
- Обновление графика хранения : Ваш график хранения записей должен отражать вашу организацию. Это означает, что он должен содержать записи, созданные и сохраненные вашей организацией и юрисдикциями, в которых вы работаете. Кроме того, график хранения записей должен применяться ко всем записям, независимо от носителя (бумажные и электронные записи).
- Время хранения и время утилизации : Время, определенное как период хранения, также следует рассматривать как время утилизации. Срок хранения — это не минимальное время, а время, в течение которого документ хранится, а затем уничтожается.
- Определение категорий с личной информацией : Информация о том, какие категории содержат личную информацию, поможет организациям определить риски и цель, для которой хранится личная информация. Организации должны уделять особое внимание данным о потребителях и нефинансовых сотрудниках.
- Ограничение срока хранения персональных данных : Организации должны понимать и определять цель, для которой собирается и хранится личная информация. Эта цель может включать в себя закон/постановление об удержании, законную деловую цель или основанную на согласии физического лица. Как только это будет понято, организациям следует ограничить хранение этих записей этой целью.
- Выявление и исправление необоснованных сроков хранения персональных данных : Необоснованные сроки хранения могут включать чрезмерно длительные периоды хранения, которые не основаны на законе или продукте/услуге, предоставляемых потребителю. Это может также включать использование кодов событий, которые являются субъективными или трудно определяемыми на практике, или сроков хранения, которые являются правильными в теории, но невозможными для реализации. Организации должны иметь возможность сформулировать причину периода хранения, особенно если эти записи включают личную информацию или данные.
- Добавление записей о защите персональных данных в график хранения записей : пользователи графика хранения записей должны иметь возможность определять правила хранения и утилизации, применимые к уведомлениям о нарушениях, согласиям потребителей, запросам и ответам субъектов данных, политикам и процедурам конфиденциальности и видео. / аудиозаписи.
Организации должны иметь возможность сформулировать причину периода хранения, особенно если эти записи включают личную информацию или данные.Заключение
В то время как законы о защите данных расширяются, а штрафы реальны, реальность такова, что законы о защите данных просто усиливают основы графика хранения записей. Графики хранения записей идентифицируют записи, созданные организацией, и устанавливают правила хранения и уничтожения этой информации.
Ни одна организация не должна хранить информацию, которая не имеет ценности или имеет небольшую ценность. Чрезмерное хранение приводит к более высоким затратам на хранение и судебные издержки, а также к невозможности найти полезную информацию.
Законы о защите данных предоставляют дополнительные стимулы для распоряжения информацией для достижения и поддержки основных целей надлежащего учета и управления информацией.
Понимая, что обычно определяется как персональные данные, юридические ограничения, связанные с хранением персональных данных, необходимость отвечать на запросы субъектов данных и области высокого риска штрафов или судебных разбирательств, организации могут принимать эффективные меры в отношении график хранения записей в полном соответствии с законами о защите данных.
Это может привести к обновлению графика хранения записей, чтобы гарантировать, что он отражает фактические записи организации, применяется ко всем типам носителей, действует как политика хранения и удаления информации, идентифицирует записи с личными данными, ограничивает периоды хранения для этих записей. и включает типы записей, применимые к законам о защите данных. В заключение, влияние законов о защите данных заключается не в более сложном графике хранения записей, а скорее в поддержке и усилении графика хранения записей и его основной цели.
1 Общий регламент по защите данных . 2016. 2016/679 (ЕС, 27 апреля). https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679.
2 DLA Пайпер. Мировые законы о защите данных . По состоянию на 13 марта 2022 г. https://www.dlapiperdataprotection.com/.
3 Закон о защите личной информации и электронных документов (PIPEDA) . 2000. SC 2000, c. 5 (Сенат и Палата общин Канады, 13 апреля).
4 Закон о защите прав потребителей . 2020. Законопроект C-11, гл. 53n (Палата общин Канады, 2 декабря).
5 Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA). 2023. Кал. Гражданский Кодекс § 1798.105 (штат Калифорния, действует с 1 января 2023 г.).
6 Закон штата Колорадо о конфиденциальности. 2023. Colo. Rev. Stat. § 6-1-1308 (штат Колорадо, вступает в силу с июля 2023 г.
).
7 Закон штата Вирджиния о защите данных потребителей . 2023. § 59.1-577 (Штат Вирджиния, действует с 1 января 2023 г.).
8 Общие положения о защите данных. 2016. 2016/679, ст. 4 (ЕС, 27 апреля).
9 Ид ., ст. 5(е).
10 Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA). 2023. Кал. Гражданский Код § 1798.105 (штат Калифорния, действует с 1 января 2023 г.).
11 Общий закон Бразилии о защите данных (LGPD). 2018 г. Закон № 13.709, статья 19 (Бразилия, 14 августа).
12 Отслеживание соблюдения GDPR. По состоянию на 3 марта 2022 г. https://www.enforcementtracker.com.
- Том Кори
(посетили 2412 раз, 8 посещений сегодня)
Об авторе
- Том Кори
- Том Кори — директор группы управления информацией HBR Consulting.
