Вступает в силу новый закон о персональных данных
В ближайшее время вступит в действие новый закон о персональных данных, который будет актуален для всех организаций, работающих с клиентами. Архитектор по информационной безопасности ActiveCloud Антон Грецкий рассказал о том, кого коснется новый закон, что будет относиться к персональным данным, какие изменения должны будут произвести компании после вступления закона в силу.
Так что же такое персональные данные? Закон определяет их следующим образом:
Как любой закон, закон о персональных данных имеет свою область применения. Это важно понимать при работе с персональными данными. Так в каких случаях он работает?
А в каких нет? Вот они: Например, вы спокойно можете фотографировать своих друзей на вечеринке, а потом обмениваться фотографиями, а если на фотосессии в парке к вам в кадр попал человек – вы не нарушили закон, так как он не запрещает вести фотосъемку в общественных местах.
В отдельных случаях обрабатывать персональные данные субъекта можно без его согласия.
-
Во-первых, это касается обработки данных в рамках оперативной и следственной деятельности.
-
Во-вторых, в рамках налогового законодательства – ваша налоговая не только про вас не забудет, но имеет право собирать информацию о вашей финансовой активности.
-
И в третьих в случаях, когда субъект не может как предоставить информацию о себе, так и дать согласие на ее обработку – например, когда человек поступает в больницу после тяжелого ДТП. Также без согласия можно обрабатывать персональные данные, которые стали общедоступными – например, когда человек сам выложил в открытый доступ в социальных сетях свой номер телефона, адрес или дату рождения.
С вступлением в силу нового закона у нас появится новое действующее лицо – оператор персональных данных.
Кто он такой?
То есть новый закон о персональных данных придется соблюдать любой организации и физическому лицу, которые собирают и обрабатывают данные.
Оператор персональных данных имеет право:
Поручать обработку данных третьим лицам. Например, вы можете допустить обработку данных аутсорс-разработчикам сайта для интернет-магазина, при условии получения согласия на обработку от субъектов данных. Чтобы реализовать это требование, наниматели и работники, так же будут заключать соглашения о неразглашении;
Предоставлять информацию третьим лицам. Но если, например, для доставки товара из интернет-магазина оператор должен сообщить адрес и ФИО клиента своему курьеру, сделать это без согласия клиента будет нельзя.
Обязанности оператора персональных данных будут следующие:
Важно запомнить, что обработка персональных данных будет невозможна без получения согласия субъекта данных.
Это основное законное основание. Как правильно получать согласие на обработку?
Согласие субъекта имеет обязательный перечень информации, которую оно должно включать:
Субъект персональных данных — это физическое лицо, в отношении которого осуществляется сбор, обработка, распространение, предоставление персональных данных. Какие права будут у субъекта персональных данных согласно новому законодательству?
А как теперь защищать персональные данные? Как и к защите любой информации ограниченного распространения, не отнесенной к государственным секретам, требования к защите персональных данных определены в законе «Об информации информатизации и защите информации», а требования к системам защиты информации в приказе ОАЦ №62.
Однако в части защиты персональных данных закон определяет перечень обязательных мер.
Закон устанавливает, что уполномоченный орган по защите прав субъектов данных вправе требовать от оператора изменения, удаления или блокирования недостоверных, или полученных незаконным путем данных и устранения прочих нарушений закона.
Других мер реагирования, которые может применить уполномоченный орган в отношении нарушителей, закон не содержит.
Меры ответственности за неправомерные действия в отношении данных уже предусмотрены в законодательстве. Согласно статье 22.13 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) умышленное незаконное разглашение данных человеком, которому они стали известны в связи с его профессиональной деятельностью, —
Это то, что необходимо знать о Законе о персональных данных уже сейчас. Возможно, до его вступления в силу произойдут другие изменения. Будем наблюдать. И обязательно расскажем об этом вам.
Часто задаваемые вопросы:
1. Когда планируется вступление в силу нового закона о персональных данных с РБ?
Закон после второго чтения был направлен на доработку. К примеру, изменится название закона.
Планируется, что он будет называться «Закон о ЗАЩИТЕ персональных данных». Ожидается, что закон вступит в силу в марте 2020г.
Конечно, нет. Это один из видов персональных данных, который подлежит защите. В случае, если сам клиент опубликует где-то в открытых источниках эти данные, то они автоматически станут общедоступными персональными данными и требования по их защите предъявляться не будут, но это частный случай и вряд ли такое произойдет.
3. Какие требования (обязанности/ответственность) будут предъявлены к владельцам систем безопасности на объектах (системы контроля и управления доступом, системы видеонаблюдения) после принятия Закона о персональных данных?
После принятия Закона о защите персональных данных владельцы систем, в случае, если они будут являться операторами, будут обязаны реализовать меры по защите информации, указанные в данном законе.
Подробнее требования по организации защиты персональных данных (информации ограниченного распространения) указаны в приказе ОАЦ №62. Помните, что предпринимаемые меры по защите информации также зависят от класса системы, в которой она обрабатывается. Класс системы определяется согласно СТБ 34.101.30-2017г.
4. Как в соответствии с нормами планируемого закона о персональных данных построить процесс обработки и хранения персональных данных при получении их по электронным каналам, например, данных из резюме кандидата на работу?
Во-первых, необходимо получить согласия субъекта на обработку данных. Удобнее всего разместить его на сайте вашей компании. После ознакомления с перечнем обрабатываемой вами информации и целями обработки, субъект может дать осознанное согласие. Далее субъект сможет загрузить резюме или заполнить форму прямо на вашем сайте. Помните, что вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует.
5. Какие действия в рамках планируемого к принятию закона необходимы при получении от клиента заявления об отзыве/запрете на обработку персональных. Например, клиент-физлицо является должником компании, после начала процесса досудебного взыскания (письма, телефонные звонки и т.д.) компания получает от клиента-должника заявление об отзыве/запрете на обработку персональных данных. Какие действия и каким образом может далее предпринимать компания?
В случае, если клиент является должником компании, но в процессе досудебного взыскания вдруг решает заявить об отзыве/запрете на обработку своих персональных данных вам следует обратиться в суд. В таком случае сразу же начнут действовать иные нормы законодательства, а предоставление персональных данных судебным органам в рамках процесса, даже в случае если субъект данных против (а это всегда так) не противоречит нормам Закона.
6. Произошло слияние двух компаний А и В. Вся клиентская база компании А перешла в компанию В. У компании А были письменные (или иные) разрешения от клиентов на обработку персональных данных. У компании В нет разрешений на обработку клиентов компании А. Каким образом и на основании каких норм законодательства компания В может осуществлять обработку персональных данных пула клиентов компании А?
Для осуществления компанией B обработки персональных данных пула клиентов компании А ей необходимо получить согласие каждого клиента из пула. Процедура получения согласия и его содержание описано выше. В случае отсутствия согласия каждого конкретного клиента, обработка его персональных данных невозможна.
7. Будет ли установлена по новому закону:
— необходимость аттестации негосударственной информационной системы в связи с хранением в ней персональных данных.
— необходимость аттестации негосударственной информационной системы если планируется ее взаимодействие с государственными информационными системами.
Нет, данные нормы закон не затрагивает. Они регулируются Законом «Об информации, информатизации и защите информации» и приказом ОАЦ №62.
8. Предусмотрена ли новым законом о персональных данных ОБЯЗАТЕЛЬНАЯ аттестация уполномоченными организациями используемых информационных систем субъектов хозяйствования РБ (например таких как: CRM, 1С, собственные кадровые БД и т.п.), содержащих персональные данные (или их отдельные элементы: имя, фамилию, телефон)? Если да, то в какие сроки?
Данный закон не касается вопросов, связанных с аттестацией. Хочу обратить внимание, что аттестации подлежит не информационная система, а система защиты информации информационной системы. Закон «Об информации, информатизации и защите информации» говорит о том, что системы защиты информации любых информационных систем (не зависимо от формы собственности) должны быть аттестованы, если в информационных системах обрабатывается информация ограниченного распространения.
В то числе и персональные данные.
Вопрос о защите персональных данных в соответствии с требованиями нового закона становится все более актуальным. Как правильно реализовать поставленную задачу?
Компания ActiveCloud окажет вам услуги по IT-консалтингу, проведет аудит и поможет построить эффективную и экономически обоснованную систему защиты информации, проведет аттестацию уже существующей системы защиты информации или выполнит работы по актуализации в связи с изменениями в законодательстве.
Присылайте свои вопросы по информационной безопасности и защите персональных данных на е-мейл: [email protected]
Разбираем нюансы подписанного Президентом Закона «О защите персональных данных»
В пятницу на Национальном правовом Интернет-портале был опубликован Закон «О защите персональных данных». Он регулирует отношения, связанные с защитой персональных данных при их обработке как с использованием средств автоматизации, так и без них.
В документе сказано, что «обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц».
Игорь Мартынов, заместитель председателя Постоянной комиссии по национальной безопасности Палаты представителей, отмечает, что Закон действительно назревший:
– Вопреки мнениям так называемых аналитиков, которые утверждают, что его писали в спешке, буквально за пару месяцев, должен сказать, что работа над ним началась еще в 2018 году.
По словам депутата, в первом чтении проект Закона был принят в 2019-м. Изначально он назывался «О защите данных», ко второму чтению название было изменено. Игорь Мартынов акцентирует, что очевидную необходимость принятия этого законопроекта общество почувствовало особенно остро летом прошлого года, когда в сети стали появляться личные сведения граждан, размещенные там без их согласия.
Как будет работать система защиты персональных данных после вступления в силу нового Закона?
Депутат говорит, что Закон четко устанавливает, что же понимается под термином «персональные данные»:
– Это объемное определение. В него входят, к примеру, паспортные данные, место регистрации, проживания, семейный статус, телефон, информация о близких родственниках, наличие транспортного средства, недвижимого имущества. Все это будет считаться и являться персональными данными гражданина.
Согласно новому Закону оператором по сбору персональных данных может стать любая организация.
– К примеру, все торговые сети, которые выдают скидочные карты в обмен на личные сведения, учреждения системы здравоохранения, налоговая и многие другие. Когда мы приходим в поликлинику, то все, что на нас там имеется, по сути – наши персональные данные. Не только Ф.И.О., но и диагнозы, обследования… Теперь каждая из этих организаций, получив статус оператора, сможет сохранять у себя информацию в объеме, который им нужен, и будет обязана нести ответственность за ее распространение, – рассказывает депутат.
В Законе для операторов прописан определенный порядок работы, а также как именно они должны собирать и обрабатывать персональные данные. Кроме того, там указано, на каких основаниях организацию смогут лишить статуса оператора по обработке личных сведений. Игорь Мартынов подчеркивает важную деталь: любой оператор может собирать информацию только с согласия гражданина.
Совет Министров должен в трехмесячный срок определить орган, который станет регулировать работу всех операторов: контролировать их и обобщать всю информацию.
– Уполномоченный орган будет следить за тем, как операторы распоряжаются данными, кому и по какой причине они их предоставляют, – отметил депутат.
Любой гражданин согласно Закону может один раз в год бесплатно обратиться к оператору, чтобы уточнить, использовал ли кто-то его личные данные. Оператор обязан предоставить эту информацию. Также появится возможность обратиться с просьбой удалить те или иные сведения из базы данных оператора.
В случае несоблюдения оператором своих обязанностей вопрос придется решать в судебном порядке. По решению суда уполномоченный орган сможет выдать предупреждение оператору, а при наступлении особо тяжких последствий – лишить его этого статуса.
Ответственность для операторов предусмотрена как административная, так и уголовная. Все будет зависеть от того, сколько и в каком объеме они незаконно распространили персональных данных и какие последствия наступили в результате этого.
Если будут такие ситуации, как случались в прошлом году, когда, к примеру, семье сотрудников органов внутренних дел после слитых в сеть личных сведений начинали угрожать, то это одна ответственность. Если же кто-то ради любопытства подсмотрел какую-то персональную информацию по типу даты рождения – это уже другая степень ответственности. Игорь Мартынов добавил, что процесс по выработке меры ответственности уже идет. Основные положения Закона вступают в силу через шесть месяцев после его официального опубликования.
Светлана Исаенок, «СБ. Беларусь сегодня», 15 мая 2021 г.
Как будет осуществляться защита персональных данных – читайте в материале Pravo.by.
Политика обработки персональных данных
1. Общие положения
В целях выполнения норм федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» в области обработки персональных данных субъектов персональных данных, ООО «ПРОФИ-ИНВЕСТ» (далее – Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика в отношении обработки и защиты персональных данных в ООО «ПРОФИ-ИНВЕСТ» (далее – Политика) характеризуется следующими признаками:
1.2.1. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
1.2.2. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.
2. Информация об Операторе
Наименование: Общество с ограниченной ответственностью «ПРОФИ-ИНВЕСТ»
Местонахождение: 141207, Московская область, г. Пушкино, ул. Грибоедова, д. 7, помещение 601
ИНН 5038082114
Тел./факс: 8 (495) 665-46-20.
3. Правовые основания обработки персональных данных
3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
• Конституцией Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
3.2. В целях реализации положений Политики в ООО «ПРОФИ-ИНВЕСТ» разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:
• Положение об обработке персональных данных в ООО «ПРОФИ-ИНВЕСТ»;
• Перечень работников, допущенных к работе с персональными данными.
• иные локальные нормативные акты и документы, регламентирующие в ООО «ПРОФИ-ИНВЕСТ» вопросы обработки персональных данных.
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
4.1.1. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
4.1.2. Информирования об актуальных акциях и предложениях компании, организации экскурсий на строящиеся объекты, а также справки об условиях приобретения квартир.
4.1.3. Осуществления пропускного режима.
4.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки;
4.4. Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных;
4.6. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Перечень субъектов, персональные данные которых обрабатываются в ООО «ПРОФИ-ИНВЕСТ», источники их получения.
5.1. Персональные данные сотрудников. Источники получения: субъекты персональных данных ООО «ПРОФИ-ИНВЕСТ».
5.2. Персональные данные получателей консультационных услуг.
Источники получения: граждане, обратившиеся в ООО «ПРОФИ-ИНВЕСТ».
5.3. Другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).
5.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «ПРОФИ-ИНВЕСТ» не осуществляется.
6. Функции ООО «ПРОФИ-ИНВЕСТ» при осуществлении обработки персональных данных
6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».
6.2. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов ООО «ПРОФИ-ИНВЕСТ» в области персональных данных.
6.3. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.4. Оператор назначает лицо, ответственное за организацию обработки персональных данных.
6.5. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.
6.6. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с согласия субъекта персональных данных.
6.7. Оператор публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.
6.8. Оператор осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требованиями к защите персональных данных.
6.9. Оператор прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных. .
6.10. Оператор совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
7. Перечень действий с персональными данными и способы их обработки.
7.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
7.2. Обработка персональных данных осуществляется следующими способами:
• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.
8. Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
8.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.
Заключительные положения
9.1. Настоящая Политика обязательна для соблюдения.
9.2. Внутренний контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов ООО «ПРОФИ-ИНВЕСТ» в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных.
Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных
Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
27 июля 2006 года был принят Федеральный закон №152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
ГКДОУ д/с № 17 «Сказка» является оператором, осуществляющим обработку персональных данных сотрудников, воспитанников и их родителей (законных представителей) детского сада, а также физических лиц, состоящих в иных договорных отношениях с учреждением.
Детский сад занесен в РЕЕСТР операторов, осуществляющих обработку персональных данных на сайте РОСКОМНАДЗОРА. В учреждении собираются, хранятся, обрабатывается, передаются в вышестоящие инстанции персональные данные сотрудников, детей. Поэтому в ГКДОУ д/с №17 «Сказка» соблюдается действующее законодательство в области защиты персональных данных.
|
|
|
|
Нормативные правовые документы по обеспечению защиты персональных данных |
Закон Российской Федерации от 27. Закон Российской Федерации от 27.07.2006 года «О персональных данных» № 152-ФЗ (ссылка на просмотр: http://base.garant.ru/5757409/1/) Постановление Правительства Российской Федерации от 01.11.2012 года «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных» № 1119 (ссылка на просмотр: http://base.garant.ru/70252506/) Постановление Правительства Российской Федерации от 21.03.2012 года «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» № 211 (ссылка на просмотр: http://base.garant.ru/70152982/) |
|
Локальные нормативные акты в отношении обработки и защиты персональных данных |
Политика обработки и защиты персональных данных утвержденная приказом заведующего от 24. Положение о порядке обработки и защите персональных данных в Государственном казенном дошкольном образовательном учреждении детский сад № 17 «Сказка» от 24.04.2019 г. № 01-22/96 Положение о парольной защите при обработке персональных данных и иной конфиденциальной информации, утвержденное приказом заведующего ГКДОУ д/с № 17 «Сказка» от 24.04.2019 г. № 01-22/96 Положение о службе (ответственном лице) информационной безопасности ГКДОУ д/с № 17 «Сказка», утвержденное приказом заведующего от 24.04.2019 г. № 01-22/96 Положение о конфиденциальной информации в ГКДОУ д/с № 17 «Сказка», утвержденное приказом заведующего от 24.04.2019 г. № 01-22/96 Положение об ответственности работников, допущенных к обработке персональных данных и иной конфиденциальной информации утвержденное приказом заведующего ГКДОУ д/с № 17 «Сказка» от 24.04.2019 г. № 01-22/96 Порядок уничтожения, блокирования персональных данных утвержденный приказом заведующего ГКДОУ д/с № 17 «Сказка», от 24. Правила осуществления внутреннего контроля соответствия обработки персональных данных утвержденных приказом заведующего ГКДОУ д/с №17 «Сказка» от 24.04.2019 г. № 01-22/96 |
|
Приказы |
Приказ заведующего ГКДОУ д/с № 17 «Сказка» от 11.01.2021 г. № 01-22/42 «О назначении ответственного за обеспечение безопасности персональных данных». Приказ заведующего ГКДОУ д/с № 17 «Сказка» от 11.01.2021 г. № 01-22/42-1 «Об утверждении мест хранения персональных данных (материальных носителей)». Приказ заведующего ГКДОУ д/с № 17 «Сказка» от 11.01.2021 г. № 01-22/42-2 «Об утверждении перечня сведений конфиденциального характера». Приказ заведующего ГКДОУ д/с № 17 «Сказка» от 11.01.2021 г. № 01-22/42-3 «О назначении ответственных за организацию обработки и защиты персональных данных». Приказ заведующего ГКДОУ д/с № 17 «Сказка» от 11.01.2021 г. № 01-22/42 -4 «О порядке обработки и защите персональных данных». Приказ заведующего ГКДОУ д/с № 17 «Сказка» «Об утверждении локальных нормативных актов в отношении обработки и защиты персональных данных» от 24.04.2019 г. № 01-22/96. |
07.2006 года «Об информации, информационных технологиях и о защите информации» № 149-ФЗ (ссылка на просмотр: http://base.garant.ru/12148555/)
04.2019 г. № 01-22/96
04.2019 г. № 01-22/96 
Субъект может получить доступ к собственным персональным данным, уточнить или удалить их при личном обращении в ГКДОУ д/с № 17 «Сказка» на основании заявления.
АРИЗОНА | ||
AZ HB 2259 | Ошибка | Требуется коммерческий веб-сайт, который собирает личную информацию от более чем 500 пользователей, чтобы создать безопасный портал личной информации, который позволяет человеку получить доступ к своей собственной информации и исправить любые ошибки. |
АЗ HB 2478 | Ошибка | Относится к биологическим характеристикам, относится к биометрическим идентификаторам.Предусматривает, что лицо не может зарегистрировать биометрический идентификатор физического лица в базе данных для коммерческих целей, если только это лицо не предоставит механизм, предотвращающий последующее использование идентификатора в коммерческих целях без согласия. |
AZ HB 2524 | Ошибка | Требуется разработчик веб-сайта или программного приложения, использующего функции микрофона или камеры устройства для сбора аудиоданных или изображений, чтобы раскрыть пользователю собираемые данные и причину их сбора. |
КАЛИФОРНИЯ | ||
CA AB 25 | Подписано губернатором | Исключает из определения потребителя в Законе штата о конфиденциальности потребителей физическое лицо, чья личная информация была собрана предприятием в ходе работы лица, действующего в качестве кандидата на работу, сотрудника, подрядчика или агента по от имени компании, если личная информация лица собирается и используется исключительно в целях, совместимых с ролью этого лица в качестве кандидата на работу, сотрудника, подрядчика или агента компании. |
CA AB 288 | В ожидании — перенос | Требуется, чтобы служба социальной сети предоставляла пользователям, закрывающим свои учетные записи, возможность навсегда удалить личную информацию пользователя из базы данных и записей компании, а также запретить службе продавать эту информацию или обмениваться этой информацией с третьей стороной. в будущем, с учетом указанных исключений.Требуется, чтобы компания, работающая в социальных сетях, выполнила такой запрос в течение коммерчески разумного срока. |
СА АВ 523 | В ожидании — перенос | Предписывает обстоятельства, при которых телефонные и телеграфные корпорации могут раскрывать определенную информацию, в том числе информацию о частной сети клиентов, в отношении некоммерческих абонентов без их письменного согласия. В частности, включает информацию о геолокации в информацию, которая может быть раскрыта только с письменного согласия некоммерческого подписчика. |
CA AB 846 | В ожидании — перенос | Вносит поправки в Закон о защите прав потребителей. Разрешает бизнесу включать потребителя в программу финансового поощрения только в том случае, если потребитель положительно соглашается с существенными условиями программы поощрения. Запрещает бизнесу использовать практику финансового стимулирования, которая является несправедливой, необоснованной, принудительной или ростовщической по своему характеру. Запрещает бизнесу дискриминировать потребителя путем установления более высоких цен или предоставления товаров или услуг более низкого уровня для осуществления любых прав потребителя. |
CA AB 873 | В ожидании — перенос | Пересматривает определение деидентифицированной информации для целей Закона о конфиденциальности потребителей, чтобы обозначить информацию, которая не идентифицирует и не может быть связана прямо или косвенно с конкретным потребителем. |
CA AB 874 | Подписано губернатором | Определяет общедоступную информацию в соответствии с Законом штата Калифорния о конфиденциальности потребителей как информацию, которая на законных основаниях стала доступной из федеральных, государственных или местных архивов. Предусматривает, что личная информация не включает деидентифицированную или агрегированную информацию о потребителе. |
CA AB 950 | Ожидание переноса | Требует, чтобы компания, которая ведет бизнес в Калифорнии и собирает потребительские данные о жителях Калифорнии, раскрывала потребителю денежную стоимость бизнеса своих потребительских данных, публикуя среднюю денежную стоимость бизнеса данных потребителя, в том числе информацию в своей политике конфиденциальности, размещенной на его веб-сайте в Интернете, а также включение в свою политику конфиденциальности раскрытия информации о любом использовании данных потребителя, которое не имеет прямого отношения к услуге. |
CA AB 981 | В ожидании — Carrover | Устраняет право потребителя требовать от компании удаления или отказа от продажи личной информации потребителя в соответствии с Законом о конфиденциальности потребителей, если необходимо сохранить или передать личную информацию потребителя для завершения страховой операции, запрошенной потребителем. |
CA AB 1138 | В ожидании — перенос | Запрещает физическому или юридическому лицу, которое ведет бизнес в штате и управляет веб-сайтом или приложением социальной сети, разрешать лицу, не достигшему определенного возраста, создавать учетную запись на веб-сайте или в приложении, если только веб-сайт или приложение не получают согласие родителем или опекуном лица перед созданием учетной записи с использованием метода, который включает разумные меры для обеспечения того, чтобы лицо, дающее свое согласие, было родителем или законным опекуном лица моложе 13 лет. |
CA AB 1146 | Подписано губернатором | Освобождается от действия Закона о защите прав потребителей информация о транспортном средстве, передаваемая между новым дилером транспортных средств и производителем транспортного средства, если информация сохраняется или передается в связи с ремонтом транспортного средства, относящимся к гарантийным работам, или отзывом, или в преддверии этого. |
CA AB 1202 | Подписано губернатором | Требует от брокеров данных зарегистрироваться и предоставить определенную информацию генеральному прокурору.Определяет брокера данных как бизнес, который сознательно собирает и продает третьим сторонам личную информацию потребителя, с которым бизнес не имеет прямых отношений, с учетом указанных исключений. |
CA AB 1281 | В ожидании — перенос | Требуется, чтобы компания в Калифорнии, использующая технологию распознавания лиц, сообщала об этом использовании в физическом знаке, который был бы четким и заметным при входе в каждое место, где используется технология распознавания лиц. |
CA AB 1355 | Подписано губернатором | Исключает информацию о потребителе, которая является деидентифицированной, или агрегированную информацию о потребителе из определения личной информации в соответствии с Законом штата о конфиденциальности потребителей от 2018 года. дифференцированное отношение разумно связано с ценностью, предоставляемой бизнесу данными потребителя. |
CA AB 1395 | В ожидании — перенос | Запрещает физическому или юридическому лицу обеспечивать работу функции распознавания голоса в штате без заметного информирования пользователя во время первоначальной настройки или установки другого подключенного устройства с функцией распознавания голоса. Запрещает любые фактические записи произнесенных слов, собранные с помощью функции распознавания голоса, использовать в каких-либо рекламных целях, а также передавать или продавать третьим лицам, если потребитель не дает письменного согласия. |
CA AB 1416 | В ожидании — перенос | Указывает, что Закон штата о защите прав потребителей не ограничивает способность бизнеса соблюдать какие-либо правила или положения, принятые в соответствии с законами штата или федеральными законами и во исполнение их. Устанавливает исключение из закона для бизнеса, который предоставляет личную информацию потребителя государственному органу исключительно в целях выполнения государственной программы, если выполняются определенные требования. |
CA AB 1469 | В ожидании — перенос | Требует от Бюро товаров и услуг для дома, в консультации с заинтересованными сторонами, провести обзор своих принятых торговых стандартов для хорошего и профессионального ремонта, чтобы определить, необходимо ли принять дополнительные правила, касающиеся последствий конфиденциальности и безопасности подключенных устройств. |
CA AB 1564 | Подписано губернатором | Требуется, чтобы компания предоставила потребителям бесплатный номер телефона или адрес электронной почты и физический адрес для отправки запросов на информацию, которую необходимо раскрыть. |
CA AB 1665 | В ожидании — перенос | Запрещает физическому или юридическому лицу, которое ведет бизнес в Калифорнии, управляет веб-сайтом или приложением в Интернете, требующим согласия на согласие перед продажей личной информации несовершеннолетнего, получать согласие на продажу личной информации несовершеннолетнего способом, отличным от социального Общие положения и условия веб-сайта СМИ или приложения. |
CA AB 1758 | В ожидании — перенос | Вносит незначительное изменение в Закон о защите прав потребителей. |
CA AB 1760 | В ожидании — перенос | Создает Закон о конфиденциальности для всех. Запрещает бизнесу передавать личную информацию потребителя, если потребитель не разрешил такой обмен. |
CA СБ 299 | В ожидании — перенос | Запрещает оператору интернет-сайта, онлайн-сервиса, онлайн-приложения или мобильного приложения, предназначенного для несовершеннолетних, использовать личную информацию несовершеннолетнего для направления контента несовершеннолетнему или группе лиц, имеющих сходство, на основании фактического положения несовершеннолетнего. или предполагаемая раса, этническая принадлежность, религия, физическая или умственная неполноценность, состояние здоровья, гендерная идентичность, гендерное выражение, сексуальная ориентация, пол или социально-экономическое происхождение, или любой другой фактор, используемый для выявления этих черт. |
CA СБ 561 | В ожидании — перенос | Расширяет права потребителя подавать гражданский иск о возмещении ущерба, чтобы применить его к другим нарушениям в соответствии с Законом штата Калифорния о конфиденциальности потребителей от 2018 года. |
CA СБ 753 | В ожидании — перенос | Предусматривает, что для целей закона бизнес не продает личную информацию, если бизнес в соответствии с письменным договором делится, раскрывает или иным образом сообщает другому бизнесу или третьей стороне уникальный идентификатор только в той мере, в какой это необходимо для обслуживания или аудит конкретной рекламы для потребителя. |
КОННЕКТИКУТ | ||
КТ НВ 5333 | Ошибка | Запрещает розничным торговцам использовать программное обеспечение для распознавания лиц в маркетинговых целях, защищает конфиденциальность розничных покупателей. |
КТ НВ 6041 | Ошибка | Касается сайтов социальных сетей; защищает потребителя от доступа к его или ее личным контактам со стороны сайта социальной сети с целью создания нежелательного маркетинга для контакта потребителя |
CT HB 6544 | Ошибка | Запрещает компаниям, занимающимся генетическим тестированием потребителей, передавать генетические данные компаниям по страхованию здоровья или жизни, относится к натуропатии, предоставляет определения, вносит технические исправления. |
CT HB 6601 | Ошибка | Касается конфиденциальности данных и несовершеннолетних, требует, чтобы платформы социальных сетей в Интернете удаляли контент, созданный лицами моложе восемнадцати лет, по запросу таких лиц, запрещает такие платформы и веб-сайты в Интернете, которые в первую очередь привлекают несовершеннолетних к рекламе продуктов или услуг, которые являются незаконными для несовершеннолетних. покупка, и если такая реклама нацелена на несовершеннолетнего на основе личной информации, собранной о таком несовершеннолетнем. |
КТ СБ 6 | Ошибка | Требует от провайдеров интернет-услуг регистрироваться и платить регистрационные сборы, а также требует от Регуляторного органа коммунальных служб применять принципы сетевого нейтралитета к провайдерам интернет-услуг и обеспечивать соблюдение этих принципов гражданскими санкциями, а также запрещать деятельность определенных телекоммуникационных компаний, сертифицированных провайдеров телекоммуникаций, сертифицированных конкурирующих провайдеров видеоуслуг. |
КТ СБ 432 | Ошибка | Расширяет недобросовестную торговую практику, включая продажу местоположения клиента в глобальной системе позиционирования (GPS) поставщиками мобильных телефонов, защищает конфиденциальность пользователей мобильных телефонов. |
КТ СБ 1108 | Принят, гл. 19-24 | Создает рабочую группу для изучения того, какую информацию предприятия штата должны раскрывать потребителям в отношении личной информации потребителей, которая сохраняется или продается такими предприятиями; предусматривает членство в рабочей группе. |
ФЛОРИДА | ||
Флорида HB 1153 | Ошибка | Относится к конфиденциальности биометрической информации, дает краткое название, дает определения, устанавливает требования и ограничения для частных лиц в отношении использования, сбора и обслуживания биометрических идентификаторов и биометрической информации, создает частное основание для судебного иска для защиты от нарушений акт, предусматривает строительство. |
ФЗ СБ 1270 | Ошибка | Относится к конфиденциальности биометрической информации, дает краткое название, дает определения, устанавливает требования и ограничения для частных лиц в отношении использования, сбора и обслуживания биометрических идентификаторов и биометрической информации, создает частное основание для судебного иска для защиты от нарушений акт, предусматривает строительство. |
ГАВАЙИ | ||
HI HB 761 | В ожидании — перенос | Указывает, что розничные продавцы могут предоставлять подтверждение покупки в электронной форме участнику программы постоянных покупателей, требует от розничных продавцов, которые предлагают электронное подтверждение покупки, иметь разумные гарантии для защиты личной информации участников. |
HI HCR 225 | Принят | Созыв рабочей группы для изучения и рекомендации законов и нормативных актов для обновления закона о конфиденциальности. |
HI ЧАС 200 | Не удалось — отложено | Созыв рабочей группы для изучения и рекомендации законов и нормативных актов для обновления закона о конфиденциальности. |
HI СБ 418 | В ожидании — перенос | Требует, чтобы бизнес раскрывал категории и конкретные части идентифицирующей информации, собранной о потребителе по поддающемуся проверке запросу от потребителя, раскрывал личность третьих лиц, которым бизнес продал или передал идентифицирующую информацию о потребителе по поддающемуся проверке запросу от потребителя. . |
HI HB 702 | Наложено вето губернатора | Запрещает продажу или выставление на продажу данных о местоположении, собранных с помощью технологии спутниковой навигации, без явного согласия лица, которое является основным пользователем устройства, оснащенного технологией спутниковой навигации. |
Привет СБ 1534 | В ожидании — перенос | Требует от оператора мероприятия раскрывать количество билетов, имеющихся в наличии для продажи, для широкой публики на мероприятие, запрещает увеселительные заведения, финансируемые за счет пожертвований, государственных средств или освобожденные от налогов, заключать эксклюзивные контракты на продажу билетов, запрещает продавцам билетов не разглашать личную информацию о покупателях билетов. |
ИЛЛИНОЙС | ||
ИЛ HB 1426 | В ожидании | Вносит поправки в Закон о защите частной жизни граждан, вносит технические изменения в раздел, касающийся краткого названия. |
ИЛ HB 2189 | Принят | Вносит поправки в Закон о конфиденциальности генетической информации, предусматривает, что «генетическое тестирование» включает в себя коммерческое генетическое тестирование, направленное непосредственно потребителю, и предусматривает, что компании, проводящей коммерческое генетическое тестирование непосредственно потребителю, запрещается делиться какой-либо информацией о генетическом тестировании или другой информацией, позволяющей установить личность. |
ИЛ HB 2736 | В ожидании | Создает Закон о праве знать, предусматривает, что оператор коммерческого веб-сайта или онлайн-сервиса, который собирает личную информацию через Интернет об отдельных клиентах, проживающих в России, которые используют или посещают его коммерческий веб-сайт или онлайн-сервис, должен уведомлять этих клиентов об определенной указанной информации. в отношении его практики обмена личной информацией. |
ИЛ HB 2785 | В ожидании | Создает Закон о защите конфиденциальности геолокации, определяет информацию о геолокации, приложение на основе местоположения, частное лицо и пользователя, предусматривает, что частное лицо не может собирать, использовать, хранить или раскрывать информацию о геолокации из приложения на основе местоположения на устройстве пользователя. |
ИЛ HB 2871 | В ожидании | Создает Закон о регистрации брокеров данных, требует, чтобы брокер данных ежегодно регистрировался у государственного секретаря, определяет брокера данных как бизнес или подразделение бизнеса, отдельно или вместе, которое сознательно собирает и продает или лицензирует третьим сторонам персональные данные, предоставляемые через посредников. информация о потребителе, с которым бизнес не имеет прямого отношения. |
ИЛ HB 3051 | В ожидании | Создает Закон о защите конфиденциальности приложений, требует, чтобы организация, которая владеет, контролирует или управляет веб-сайтом, онлайн-службой или программным приложением, указывала в своих клиентских соглашениях или применимых условиях, собирают ли третьи лица электронную информацию непосредственно с цифровых устройств физических лиц в которые используют или посещают его веб-сайт, онлайн-сервис или программное приложение, требует раскрытия имен этих третьих лиц и категорий собираемой информации. |
ИЛ HB 3130 | В ожидании | Вносит поправки в Закон о конфиденциальности генетической информации, включая прямое коммерческое генетическое тестирование потребителя в определение генетического тестирования. |
ИЛ HB 3357 | В ожидании | Создает Закон о конфиденциальности данных, содержит только краткое название. |
ИЛ HB 3358 | В ожидании | Создает Закон о прозрачности данных и конфиденциальности, устанавливает, что люди имеют право на неприкосновенность частной жизни и личную имущественную заинтересованность в информации, относящейся к физическому лицу, предусматривает, что организация, которая собирает через Интернет личную информацию об отдельных потребителях, должна раскрывать информацию физическому лицу в отношении сбор информации устанавливает, что потребитель имеет право отказаться от продажи информации о потребителе, создает определенные исключения. |
ИЛ СБ 413 | В ожидании | Вносит поправки в Закон о защите частной жизни граждан, вносит технические изменения в раздел, касающийся краткого названия. |
ИЛ СБ 907 | В ожидании | Вносит поправки в Закон о защите частной жизни граждан, вносит технические изменения в раздел, касающийся краткого названия. |
ИЛ СБ 2134 | В ожидании | Вносит поправки в Закон о конфиденциальности биометрической информации, удаляет формулировку, создающую частное право на иск, вместо этого предусматривает, что любое нарушение, возникающее в результате сбора биометрической информации работодателем в целях трудоустройства, управления персоналом, предотвращения мошенничества или обеспечения безопасности, подлежит принудительному исполнению. Департамента труда, предусматривает, что сотрудник или бывший сотрудник может подать жалобу в Департамент о предполагаемом нарушении. |
ИЛ СБ 2149 | В ожидании | Создает Закон о праве на информацию о прозрачности данных и конфиденциальности, предусматривает, что оператор коммерческого веб-сайта или онлайн-сервиса, который собирает информацию, позволяющую установить личность, через Интернет об отдельных клиентах, проживающих в стране, которые используют или посещают его коммерческий веб-сайт или онлайн-сервис, должен уведомить этих клиентов. определенной указанной информации, относящейся к его практике обмена личной информацией, требует от оператора предоставления определенной указанной информации после ее раскрытия. |
ИЛ СБ 2263 | В ожидании | Создает Закон о конфиденциальности данных; обеспечивает регулирование использования и продажи данных; определяет термины; устанавливает права потребителей на копии информации, находящиеся у лиц, которые контролируют и обрабатывают данные; предусматривает исправление неточных данных; предусматривает ограничения на использование персональных данных; обеспечивает исполнение Закона Генеральным прокурором; предусматривает гражданско-правовые санкции; вытесняет самоуправление. |
КЕНТУККИ | ||
КЮ СБ 240 | Не удалось — отложено | Создает новое уголовное преступление за распространение в Интернете идентифицирующей личность информации о несовершеннолетнем. |
KY СБ 243 | Не удалось — отложено | Создает новый раздел KRS.B. Глава 365, запрещающая телекоммуникационным компаниям раскрывать или передавать третьим лицам любые данные о местоположении, полученные с сотового телефона, без согласия клиента. |
ЛУИЗИАНА | ||
ЛА HB 465 | Ошибка | Разрабатывает Закон о конфиденциальности и защите данных в Интернете и социальных сетях для защиты частной конфиденциальной информации потребителей, полученной интернет-компаниями, широкополосными сетями и социальными сетями. |
ЛА HR 249 | Принят | Просит Комиссию по государственным услугам Луизианы создать целевую группу для изучения последствий продажи личной информации потребителя поставщиком услуг доступа в Интернет, социальной сетью или поисковой системой. |
| МЭН | ||
| ЛР 1673 | Не удалось — отложено | Повышает конфиденциальность и защиту в Интернете |
| МЭ СБ 275 | Принят | Запрещает поставщику услуг широкополосного доступа в Интернет использовать, раскрывать, продавать или разрешать доступ к личной информации клиента, если клиент прямо не согласен с этим, предоставляет другие исключения, в соответствии с которыми поставщик может использовать, раскрывать, продавать или разрешать доступ к клиенту. личной информации, запрещает провайдеру отказываться обслуживать клиента, взимать с клиента штраф или предлагать клиенту скидку. |
| МАССАЧУСЕТС | ||
МА HB 349 | В ожидании | Регулирует рекламу в Интернете. |
МА HB 350 | В ожидании | Относится к онлайн-сбору личной информации от детей и несовершеннолетних. |
МА HB 382 | В ожидании | Относится к сбору, использованию, раскрытию или распространению личной информации от клиентов телекоммуникационных или интернет-провайдеров. |
МА HB 1403 | В ожидании | Относится к конфиденциальности несовершеннолетних в Интернете. |
МА СБ 120 | В ожидании | Относится к конфиденциальности данных потребителей. |
МА СБ 1936 | В ожидании | Способствует сетевому нейтралитету и защите прав потребителей. Предоставляет клиентам механизм, позволяющий легко отказаться от доступа третьих лиц к частной информации клиента в целях, отличных от предоставления услуги широкополосного доступа в Интернет, из которой была получена эта частная информация клиента. |
МЭРИЛЕНД | ||
МД HB 141 | Не удалось — отложено | Определяет обстоятельства, при которых поставщик услуг широкополосного доступа в Интернет может обрабатывать определенную личную информацию клиента, устанавливает механизм, с помощью которого поставщик услуг широкополосного доступа в Интернет может получить согласие клиента на обработку определенной личной информации определенным образом. |
МД HB 901 | Не удалось — отложено | Требует от определенных предприятий, которые собирают личную информацию потребителя, предоставлять определенные уведомления потребителю в момент сбора или до него, разрешает потребителю подавать определенный запрос на информацию определенному предприятию, которое собирает личную информацию потребителя, требует, чтобы определенное предприятие выполнить определенный запрос информации определенным образом и в течение 45 дней после получения поддающегося проверке запроса потребителя. |
МД СБ 490 | Ошибка | Запрещает использование сканирующего устройства для сканирования или считывания удостоверения личности или водительских прав физического лица для получения личной информации физического лица, запрещает сохранение, продажу или передачу другому лицу любой информации, полученной в результате сканирования. или кражи чьего-либо удостоверения личности или водительских прав при определенных обстоятельствах, предусматривает, что нарушение закона представляет собой недобросовестную или вводящую в заблуждение торговую практику в соответствии с Законом о защите прав потребителей. |
МД СБ 613 | Не удалось — отложено | Требует от определенных предприятий, которые собирают личную информацию потребителя, предоставлять определенные уведомления потребителю в момент сбора или до него, разрешает потребителю подавать определенный запрос на информацию определенному предприятию, которое собирает личную информацию потребителя, требует, чтобы определенное предприятие выполнить определенный запрос информации определенным образом и в течение 45 дней после получения поддающегося проверке запроса потребителя. |
МИННЕСОТА | ||
МН НВ 1030 | Ожидание переноса | Относится к телекоммуникациям и конфиденциальности данных, запрещает сбор личной информации без явного письменного согласия клиента. |
МН HB 2917 | Ожидание переноса | Относится к конфиденциальности данных; требует от контролеров предоставления, исправления или ограничения обработки персональных данных по запросу потребителя; требует от контролеров предоставить уведомление о конфиденциальности и документировать оценку рисков; предусматривает ответственность и гражданско-правовые санкции; предоставляет Генеральному прокурору исполнительные полномочия. |
МН СБ 433 | Ожидание переноса | Относится к телекоммуникациям, конфиденциальности данных, запрещает сбор личной информации без письменного согласия клиентов. |
МН СБ 1553 | Ожидание переноса | Относится к коммерции, требует от поставщиков телекоммуникационных услуг соблюдения требований конфиденциальности в Интернете, определяет термины и модифицирует определения, требует явного одобрения раскрытия информации, позволяющей установить личность, повышает порог гражданской ответственности. |
МН СБ 2912 | Ожидание переноса | Относится к конфиденциальности данных; требует от контролеров предоставления, исправления или ограничения обработки персональных данных по запросу потребителя; требует от контролеров предоставить уведомление о конфиденциальности и документировать оценку рисков; предусматривает ответственность и гражданско-правовые санкции; предоставляет Генеральному прокурору исполнительные полномочия. |
МИССИСИППИ | ||
MS HB 1253 | Ошибка | Создает Закон штата Миссисипи о конфиденциальности потребителей, уполномочивающий потребителя требовать, чтобы бизнес раскрывал категории и конкретные части личной информации, которую он собирает о потребителе, категории источников, из которых эта информация собирается, деловые цели для сбора или продажи информация и категории третьих лиц, которым передается информация. |
МОНТАНА | ||
МТ Д 1243 | Ошибка | Запрещает компаниям продавать данные без явного согласия пользователя, относится к конфиденциальности. |
МТ Д 1531 | Не удалось — отложено | Пересматривает законы о конфиденциальности, касающиеся конфиденциальности. |
МТ Д 2086 | Ошибка | Повышает конфиденциальность и защиту информации в Интернете, относится к информационным технологиям, относится к конфиденциальности. |
МТ Д 2087 | Ошибка | Устанавливает закон о защите личной информации в Интернете, относится к информационным технологиям, относится к конфиденциальности. |
МТ Д 2850 | Ошибка | Пересматривает законы для защиты конфиденциальности в Интернете, относится к информационным технологиям, относится к конфиденциальности. |
МТ HB 457 | Не удалось — отложено | Защищает конфиденциальность клиентов услуг доступа в Интернет, требует предварительного положительного согласия, прежде чем поставщик услуг доступа в Интернет может использовать личную информацию клиента, предоставляет определения и исключения, предусматривает меры по обеспечению соблюдения и штрафы, санкционирует нормотворчество. |
МТ НВ 645 | Ошибка | Устанавливает Закон штата Монтана о конфиденциальности биометрической информации; запрещает частному лицу собирать, хранить и использовать биометрический идентификатор лица без согласия лица; устанавливает процедуры и требования к продаже, раскрытию, защите и утилизации биометрических идентификаторов; предоставляет исключения; дает определения; позволяет Генеральному прокурору обеспечивать соблюдение положений закона; относится к защите прав потребителей; относится к конфиденциальности; относится к государственным доходам. |
СЕВЕРНАЯ ДАКОТА | ||
НД HB 1485 | Принят | Предусматривает проведение законодательного управленческого исследования раскрытия персональных данных потребителей. |
НД HB 1524 | Ошибка | Относится к регулированию брокеров данных, предусматривает штраф. |
НЕВАДА | ||
НВ СБ 220 | Принят, гл. 211 | Пересматривает положения, касающиеся конфиденциальности в Интернете. |
НЬЮ-ГЭМПШИР | ||
НХ Н 536 | В ожидании | Запрещает предприятиям использовать, раскрывать или сохранять биометрическую информацию о физическом лице. |
НЬЮ-ДЖЕРСИ | ||
Нью-Джерси AB 206 | В ожидании | Требует, чтобы коммерческие интернет-сайты и операторы онлайн-сервисов уведомляли клиентов о сборе и раскрытии личной информации третьим лицам. |
Нью-Джерси, AB 1527 | В ожидании | Требует от интернет-провайдеров соблюдать конфиденциальность и запрещать любое раскрытие, продажу или несанкционированный доступ к личной информации абонента, если только подписчик не разрешит интернет-провайдеру раскрыть информацию в письменной форме. |
Нью-Джерси AB 1927 | В ожидании | Требует от интернет-провайдеров сохранять конфиденциальность личной информации абонента, если только подписчик не разрешит интернет-провайдеру раскрыть информацию в письменной форме или по электронной почте, запрещает штрафные санкции для абонента. |
Нью-Джерси, AB 2163 | В ожидании | Принимает Закон о конфиденциальности читателей, содержит определения. |
Нью-Джерси, AB 2232 | В ожидании | Запрещает телевизионным функциям распознавания голоса собирать или записывать пользователей без предварительного уведомления, запрещает использование или продажу записей в рекламных целях. |
Нью-Джерси, AB 2958 | В ожидании | Предписывает Совету коммунальных служб провести кампанию по информированию общественности об операторах связи, включая поставщиков услуг мобильной связи и передачи голоса по протоколу Интернет, а также о раскрытии информации о клиентах. |
Нью-Джерси, AB 3711 | В ожидании | Требует, чтобы интернет-провайдеры сохраняли конфиденциальность личной информации абонента, если только подписчик не разрешил интернет-провайдеру раскрыть информацию в письменной форме. |
Нью-Джерси, AB 4640 | В ожидании | Требует от определенных предприятий уведомлять субъектов данных о сборе информации, позволяющей установить личность, и устанавливает определенные стандарты безопасности. |
Нью-Джерси AB 4902 | В ожидании | Требует, чтобы коммерческие интернет-сайты и онлайн-сервисы уведомляли клиентов о сборе и раскрытии личной информации и позволяли клиентам отказаться от этого. |
Нью-Джерси, AB 5259 | В ожидании | Запрещает коммерческим поставщикам мобильных услуг раскрывать данные глобальной системы позиционирования клиента третьим лицам. |
Нью-Джерси СБ 1175 | В ожидании | Устанавливает Закон о конфиденциальности читателей. |
Нью-Джерси СБ 2641 | В ожидании | Требует от интернет-провайдеров соблюдать конфиденциальность и запрещать любое раскрытие, продажу или несанкционированный доступ к личной информации абонента, если только подписчик не разрешит интернет-провайдеру раскрыть информацию в письменной форме. |
Нью-Джерси СБ 2834 | В ожидании | Требует, чтобы коммерческие интернет-сайты и онлайн-сервисы уведомляли клиентов о сборе и раскрытии личной информации и позволяли клиентам отказаться. |
Нью-Джерси СБ 3732 | В ожидании | Запрещает коммерческим поставщикам мобильных услуг раскрывать данные глобальной системы позиционирования клиента третьим лицам. |
НЬЮ-МЕКСИКА | ||
НМ СБ 176 | Не удалось — отложено | Относится к защите прав потребителей, вводит в действие закон о конфиденциальности информации о потребителях, дает определения, устанавливает права потребителей, устанавливает обязанности для предприятий, которые собирают или используют личную информацию о потребителях, предусматривает обнародование правил, устанавливает гражданские основания для иска, предусматривает штрафы, устанавливает права потребителей фонд конфиденциальности, предусматривает распределения. |
НЬЮ-ЙОРК | ||
Нью-Йорк, AB 235 | В ожидании | Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для влияния на объем бизнеса, продажи или долю рынка или для оценки эффективности маркетинговых методов или маркетингового персонала. |
Нью-Йорк AB 1911 | В ожидании | Устанавливает закон о конфиденциальности биометрических данных; требует, чтобы частные лица, владеющие биометрическими идентификаторами или биометрической информацией, разработали письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнее взаимодействие человека с частной сущностью, в зависимости от того, что произойдет раньше. |
Нью-Йорк, AB 2420 | В ожидании | Запрещает раскрытие личной информации поставщиком интернет-услуг без письменного согласия потребителя. |
NY AB 2775 | В ожидании | Запрещает любому лицу раскрывать медицинскую информацию или личную информацию лицу, которое занимается получением доступа к информации и ее сбором в коммерческих целях или чье использование такой информации будет связано с маркетингом продукта или услуги без явного письменного авторизация субъекта данных. |
Нью-Йорк, AB 3308 | В ожидании | Регулирует сбор, разглашение и распространение личной информации, полученной поставщиком онлайн-компьютерных услуг, с целью обеспечения конфиденциальности информации о подписчиках и схемах заработной платы. |
Нью-Йорк, AB 3612 | В ожидании | Требует от интернет-провайдеров предоставления клиентам копии своей политики конфиденциальности и получения письменного и явного разрешения от клиента перед передачей, использованием, продажей или предоставлением третьей стороне любой конфиденциальной информации такого клиента. |
NY AB 3739 | В ожидании | Вносит поправки в Общий закон о предпринимательстве, ограничивая раскрытие личной информации предприятиями. |
NY AB 3818 | В ожидании | Относится к принятию Закона о защите прав потребителей в Интернете, определяет термины, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности, а также о методах сбора и использования данных, связанных с ее деятельностью по доставке рекламы, делает соответствующие положения. |
Нью-Йорк AB 5306 | В ожидании | Относится к использованию функции распознавания голоса в некоторых продуктах. |
Нью-Йорк, AB 6351 | В ожидании | Предоставляет потребителю право запрашивать у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых собирается эта информация, коммерческих целей сбора или продажи информации и категории третьих лиц, которым передается информация. |
Нью-Йорк, AB 7736 | В ожидании | Устанавливает «Закон о ваших данных» в целях обеспечения защиты и прозрачности при сборе, использовании, хранении и обмене личной информацией. |
Нью-Йорк, АВ 8402 | В ожидании | Принимает закон об исследовании технологии распознавания лиц для изучения проблем конфиденциальности и возможных подходов регулирования к разработке технологии распознавания лиц. |
Нью-Йорк, АВ 8113 | В ожидании | Требует от производителей интеллектуальных динамиков получения подписанного письменного разрешения от пользователей перед сохранением голосовых записей. |
NY SB 224 | В ожидании | Вносит поправки в Общий закон о предпринимательстве, ограничивая раскрытие личной информации предприятиями. |
Нью-Йорк СБ 518 | В ожидании | Запрещает раскрытие личной информации поставщиком интернет-услуг без письменного согласия потребителя. |
Нью-Йорк СБ 1180 | В ожидании | Запрещает поставщикам интернет-услуг раскрывать личную информацию, когда потребитель требует, чтобы его или ее информация не распространялась, определяет условия, делает исключения, налагает гражданско-правовые санкции. |
| NY SB 1203 | В ожидании | Устанавливает закон о конфиденциальности биометрических данных; требует, чтобы частные лица, владеющие биометрическими идентификаторами или биометрической информацией, разработали письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнее взаимодействие человека с частной сущностью, в зависимости от того, что произойдет раньше. |
Нью-Йорк СБ 1204 | В ожидании | Относится к использованию функции распознавания голоса в некоторых продуктах. |
Нью-Йорк СБ 1464 | В ожидании | Требует, чтобы требования интернет-провайдера сохраняли конфиденциальность всей информации о клиенте, если клиент не предоставил письменное согласие. |
NY SB 2323 | В ожидании | Относится к принятию закона о защите прав потребителей в Интернете, определяет условия, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности, а также о методах сбора и использования данных, связанных с ее деятельностью по доставке рекламы, делает соответствующие положения. |
Нью-Йорк СБ 2500 | В ожидании | Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для влияния на объем бизнеса, продажи или долю рынка или для оценки эффективности маркетинговых методов или маркетингового персонала. |
Нью-Йорк СБ 3147 | В ожидании | Требует от розничных продавцов размещать предупреждающие знаки об отслеживании покупателей с помощью мобильных телефонов или других электронных устройств; предусматривает гражданско-правовые санкции. |
NY SB 4411 | В ожидании | Предоставляет потребителю право запрашивать у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых собирается эта информация, коммерческих целей сбора или продажи информации и категории третьих лиц, которым передается информация. |
Нью-Йорк СБ 5245 | В ожидании | Относится к продаже личной информации поставщиком интернет-услуг. |
NY SB 5642 | В ожидании | Вводит в действие Закон штата Нью-Йорк о конфиденциальности, требующий от компаний раскрывать свои методы деидентификации личной информации, устанавливать специальные меры безопасности в отношении обмена данными и позволять потребителям получать имена всех лиц, которым передается их информация, создает специальный счет для финансирования новое Управление конфиденциальности и защиты данных. |
ПЕНСИЛЬВАНИЯ | ||
ПА НВ 246 | Ожидание переноса | Регулирует запросы электронной почты, защищает конфиденциальность пользователей Интернета, регулирует использование данных о пользователях Интернета, предписывает штрафы. |
ПА HB 1049 | Ожидание переноса | Обеспечивает конфиденциальность данных потребителей, предусматривает права потребителей и обязанности предприятий, связанные со сбором личной информации, а также обязанности генерального прокурора. |
РОД-Айленд | ||
RI HB 5480 | Ожидание переноса | Устанавливает, что производители устройств, способных подключаться к Интернету, оснащают устройства разумными функциями безопасности. |
RI HB 5930 | Ожидание переноса | Создает Закон о защите конфиденциальности потребителей, требует от компаний, которые собирают, хранят или продают личную информацию, уведомлять потребителей и раскрывать информацию и использование информации предприятиями, при условии, что потребители могут отказаться и удалить личную информацию. |
RI HB 5945 | Ожидание переноса | Запрещает сбор и хранение биометрических идентификаторов без согласия лица, чья информация собирается, при условии, что исключения будут касаться правоохранительных органов, использования государством, исследований и проектов, связанных с государственной службой безопасности. |
РИ НВ 6135 | В ожидании | Восстанавливает жизнь и продлевает отчетность и сроки действия Специальной законодательной комиссии, известной как Комиссия по прозрачности данных в Интернете и защите конфиденциальности |
РИ СБ 234 | Ожидание переноса | Создает Закон о защите конфиденциальности потребителей, требует от компаний, которые собирают, хранят или продают личную информацию, уведомлять потребителей, раскрывать информацию и раскрывать информацию об использовании информации предприятиями, предусматривает, что потребители могут отказаться и удалить личную информацию. |
РИ СБ 537 | Ожидание переноса | Устанавливает, что производители устройств, способных подключаться к Интернету, оснащают устройства разумными функциями безопасности. |
| ЮЖНАЯ КАРОЛИНА | ||
СК НВ 3339 | Ожидание переноса | Предусматривает, что поставщик телекоммуникационных или интернет-услуг, который заключил соглашение о франшизе, соглашение о праве проезда или другой договор со штатом Южная Каролина или одним из его административно-территориальных единиц, или который использует объекты, на которые распространяются эти соглашения, даже если он не является стороной соглашения, не может собирать личную информацию от клиента в результате использования клиентом телекоммуникаций. |
СК НВ 3701 | Ожидание переноса | Вводит в действие Закон штата о защите конфиденциальности сотовых данных, определяет соответствующие термины, запрещает провайдеру мобильной связи продавать личные данные клиента третьей стороне, налагает штраф, уполномочивает генерального прокурора расследовать предполагаемые нарушения этого закона и обеспечивать их соблюдение. |
ТЕХАС | ||
ТХ НВ 2282 | Ошибка | Относится к применимости определенных ограничений на сбор и использование биометрических идентификаторов для финансовых учреждений. |
ТХ НВ 4390 | Принят | Создает Консультативный совет по защите конфиденциальности Техаса. Пересматривает положения, касающиеся нарушений безопасности. |
ТХ HB 4518 | Не удалось — отложено | Относится к конфиденциальности личной информации потребителя, собранной некоторыми предприятиями, налагает гражданско-правовые санкции. |
| ЮТА | ||
Х.Б. 490 | Ошибка | Запрещает поставщику услуг широкополосного доступа в Интернет использовать, раскрывать, продавать или разрешать доступ к личной информации клиента, за исключением определенных обстоятельств; предъявляет требования к поставщикам услуг широкополосного доступа в Интернет, связанные с уведомлением клиентов об использовании личной информации клиентов, соблюдением мер по защите личной информации клиентов, а также принимает другие положения. |
ВЕРМОНТ | ||
ВТ HB 157 | Ожидание переноса | Относится к принятию минимальных стандартов безопасности и политик конфиденциальности для подключенных устройств. |
ВТ ПР 3 | Ожидание переноса | Вносит поправки в Конституцию штата Вермонт, специально предусматривающие, что каждый человек имеет право на неприкосновенность частной жизни. |
ВАШИНГТОН | ||
| WA HB 1503 | Ожидание переноса | Касается продажи данных и управления. |
WA HB 1854 | Ожидание переноса | Защищает данные потребителей. |
WA HB 2046 | Ожидание переноса | Повышает прозрачность данных потребителей. |
WA СБ 5376 | Ожидание переноса | Защищает данные потребителей. |
| WA СБ 5377 | Ожидание переноса | Касается продажи данных и управления. |
ПУЭРТО-РИКО | ||
PR HB 300 | Ожидание переноса | Создает Закон о защите частной жизни наших детей и молодежи с целью запретить любому оператору, сотруднику или агенту интернет-сайта, классифицируемому как социальная сеть, как здесь определено, и который может публиковать личную информацию от пользователей. несовершеннолетние жители Пуэрто-Рико за пределами имени и города проживания без явного согласия отца или матери с правом отцовской власти. |
ПР СБ 1231 | В ожидании | Создает Закон о защите цифровой конфиденциальности, чтобы защитить личную информацию потребителей и гарантировать право на неприкосновенность частной жизни в цифровую эпоху. |
Указывает, что личная информация включает в себя указанную информацию, которая, помимо прочего, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.
Делает бизнес, нарушающий эти положения, ответственным за определенные гражданско-правовые санкции.
Требует, чтобы бизнес, который работает исключительно в Интернете, требовал только предоставления адреса электронной почты для отправки запросов на информацию, которую необходимо раскрыть.
Предписывает различные бизнес-требования в связи с этим новым правом на согласие. Запрещает дискриминацию потребителя на основании осуществления этого права. Предусматривает, что любое нарушение является травмой, и разрешает потребителю подать иск на этом основании.
Указывает, что генеральный прокурор может публиковать материалы, которые предоставляют предприятиям и другим лицам общие рекомендации о том, как соблюдать этот закон.
и интернет-провайдеры от сбора личной информации.
о потребителе с любой компанией по страхованию здоровья или жизни без письменного согласия потребителя.
кроме случаев, когда частное лицо сначала получает положительное прямое согласие лица после выполнения указанных требований об уведомлении, предусматривает исключения, предусматривает, что нарушение акта представляет собой незаконную практику.
.
.
Надежные программы хранения данных, требуемые новыми законами
Мало замеченное положение новых законов о конфиденциальности потребителей в Калифорнии и Вирджинии, вступающих в силу в январе 2023 года, — это необходимость в подробных графиках хранения данных и программах безопасного уничтожения .
Партнер Алан Фрил и советник Кайл Фат присоединились к специалистам по управлению данными на недавней панели на ежегодном саммите Международной ассоциации защиты конфиденциальности, чтобы объяснить эти новые требования и то, как к ним подготовиться. Вы можете бесплатно посмотреть запись здесь: Сократите расходы, сократите риски и улучшите соответствие: правильное хранение данных
Читайте советы Кайла Фата и Ребекки Перри из Exterro о том, как разработать и внедрить программу хранения данных.
Хранение данных может стать одной из самых важных тем для специалистов по правовым вопросам, комплаенсу и конфиденциальности в 2021 году.Сочетание регулятивных факторов, в том числе риск судебного разбирательства и правоприменения в связи с чрезмерным хранением данных, а также явные положения о сохранении данных и ограничении целей в правилах конфиденциальности, выдвинули эту проблему на первый план. Чтобы решить проблемы и риски, связанные с постоянно растущей нормативно-правовой базой, компании должны действовать сейчас и внедрить надлежащие методы инвентаризации данных, а также политики и процедуры хранения, которые позволят им безоговорочно выполнять эти юридические требования сейчас и в будущем.
.
Регуляторные риски
Во-первых, риски судебных разбирательств и правоприменения остаются актуальными, поскольку организации рассматривают свои методы хранения данных. Во-вторых, к 2023 году, наряду с требованиями GDPR к минимизации данных, законодательство США о конфиденциальности данных будет требовать раскрытия информации о сроках хранения данных. Наконец, целевое ограничение — обработка данных только в целях, совместимых с первоначальной целью сбора, — фактически становится глобальным требованием, когда в течение коротких 18 месяцев вступают в силу Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) и Закон Вирджинии о защите данных потребителей (CDPA). отныне.Принимая во внимание все эти соображения, организациям следует как можно раньше начать внедрять и поддерживать надлежащие политики и процедуры хранения и минимизации данных.
Судебные риски и операционные проблемы с чрезмерным хранением данных
В отношении хранения данных происходит постоянная смена взглядов с позиции ценности и стоимости, с позиции «все данные имеют ценность, а затраты на хранение данных низки и сокращаются» к анализу на основе рисков.
Общепризнано, что хранение данных связано с рисками с точки зрения судебных разбирательств и правоприменения. В деле, основанном на Законе штата Иллинойс о конфиденциальности биометрической информации, Седьмой округ недавно пришел к выводу, что простое хранение данных дольше указанного периода хранения, даже если не было нарушения или другого использования, наносило ущерб конфиденциальности ( Fox v. Dakkota Integrated Systems). ). Помимо этих текущих рисков, общая тенденция заключается в том, что законодательство о конфиденциальности будет продолжать развиваться как в США, так и в США.S. и по всему миру, тем самым увеличивая эти судебные и правоприменительные риски. По мере развития дополнительных правил регулирующие органы и потребители будут требовать конкретных действий от организаций, с которыми они обмениваются личными и конфиденциальными данными, включая их своевременное удаление. Обязательства по хранению данных в CPRA почти дословно взяты из GDPR. Недавно принятый CDPA включает схожие формулировки и нововведения в законодательстве Индии и других стран и продолжает эту тенденцию.
Помимо риска судебного разбирательства, чрезмерное хранение данных создаст операционные проблемы для компаний при реагировании на запросы субъектов данных.Что касается CPRA, стоит отметить, что большинство его требований применяются к данным, собранным после 1 января 2022 года, хотя «период ретроспективного анализа» для запросов на доступ может быть продлен по закону более чем на год. CDPA не включает определенный период ретроспективного анализа, который компании должны учитывать при реализации политики хранения. Компании, которые чрезмерно сохраняют данные, должны будут искать годами неструктурированные данные, когда вступят в силу требования CPRA (и CDPA) о предметном доступе и других правах, с расширенными ограничениями (или без каких-либо ограничений) на то, как далеко компании должны вернуться. найти данные потребителя.
Новые и существующие требования к хранению данных
Во-вторых, компании должны соблюдать определенные положения закона о конфиденциальности, касающиеся хранения данных, такие как GDPR, предстоящие CDPA и CPRA, а также разрабатываемое законодательство Индии.
Компании, подпадающие под действие GDPR, знакомы с его требованием о том, что персональные данные должны «храниться в форме, позволяющей идентифицировать субъектов данных не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные.«Положения CDPA о хранении данных не столь четкие, но если внимательно прочитать, предстоящий закон Вирджинии не разрешает хранение личных данных для использования вне первоначально раскрытых целей (за некоторыми исключениями). CPRA не только запрещает компаниям, на которые распространяется действие закона, хранить личную информацию дольше, чем это необходимо, но также требует четкого заявления в момент сбора о том, как долго будут храниться личные данные. Это заявление должно быть очень конкретным для каждой категории личной и конфиденциальной информации.Требование о том, чтобы конкретная политика хранения была видна потребителям каждый раз, когда собираются их данные, вероятно, приведет к гораздо большему раскрытию практики хранения в организациях.
Эта видимость создаст большую ответственность, поскольку потребители и регулирующие органы требуют, чтобы программы удержания выполнялись в соответствии с раскрытой информацией.
Ограничение цели Требования
В-третьих, существуют более строгие требования ограничения цели. Положения CPRA и CDPA об ограничении целей почти дословно взяты из GDPR и настаивают на том, чтобы данные использовались только для целей, раскрытых на момент их сбора, и требуют их удаления после достижения этой цели.Они также дают понять, что его нельзя использовать для другой цели, эффективно устраняя часто используемое оправдание «держать его под рукой на случай, если он понадобится им для чего-то другого». CPRA и CPRA присоединятся к GDPR, специально запрещая такие виды деятельности.
Как организации могут решить проблему хранения данных сейчас и на будущее
Хранение данных вряд ли является новой темой для большинства организаций. У большинства компаний, вероятно, есть политика хранения и удаления данных, а также программа коммуникации для уведомления соответствующих заинтересованных сторон о том же.
Однако часто эти политики не выполняются и лежат на полке по разным причинам. Либо внедрение программы хранения данных никогда не было приоритетом, либо у компании нет надлежащих ресурсов, либо высшее руководство не поддержало эту идею. Принимая во внимание меняющийся нормативный ландшафт, организации должны действовать, чтобы выполнить свои обязательства по хранению данных, независимо от того, есть ли у них зрелая и действующая программа, или вообще ничего, или что-то среднее.
Инвентаризация данных – первый шаг
Полная инвентаризация данных является важным первым шагом в создании программы хранения операционных данных. Это позволяет организации понимать имеющиеся у нее данные с точки зрения бизнеса и технических терминов. Это также разъясняет деловые записи и то, как они используются. Этот процесс инвентаризации должен быть очень гибким и позволять идентифицировать как структурированные, так и неструктурированные данные всех типов и из различных источников, поскольку риски, связанные с данными, не зависят от носителя данных.
Кроме того, инвентаризация должна позволять идентифицировать информацию не только для хранения/удаления, но и таким образом, который позволяет организациям выполнять другие обязательства по соблюдению требований, например, идентифицировать данные, собранные и переданные третьим сторонам, по каждой категории. и отвечать на запросы субъектов данных аналогичным образом. Инвентаризация должна быть способна управлять всем набором данных любого типа в любом месте и в любой форме, а процесс должен быть расширяемым и повторяемым, чтобы он мог обеспечивать непрерывный сбор информации о данных по всему портфелю информации, включая новые данные и типы данных, которые компания будет собирать в будущем.Эта инвентаризация данных также должна быть больше, чем просто список баз данных, местоположений данных и типов, поскольку программа хранения данных должна позволять организации систематизированно удалять данные там, где это оправдано.
Стратегия сбора информации от бизнес-пользователей может показаться пугающей, но существуют решения, которые охватывают все типы данных и одновременно сканируют базы данных для получения технической информации, а также запрашивают у пользователей контекстную информацию.
Exterro Data Inventory — одна из таких систем.Он предлагает автоматизированное сканирование данных, а также встроенные отраслевые оценки и надежный механизм их администрирования.
От инвентаризации к процедуре хранения
Создание рабочего механизма для хранения и удаления данных, который касается устаревших данных, но также ориентирован на будущее, сложнее, чем кажется. Это особенно верно в отношении не только регулирования конфиденциальности данных, но и других юридических обязательств организации в отношении данных (например,г., минимальные сроки хранения для целей налогообложения). Если организация не примет интегрированную юридическую стратегию GRC, автоматизирующую и связывающую свои действия по правовому управлению, управлению рисками и комплаенсу, вряд ли у нее будет надлежащая видимость для ее создания. Правила хранения данных относятся к записям (а в случае CPRA — к конкретным категориям), а не к базам данных. То же самое относится и к бизнес-процессам и требованиям.
Построение графика хранения записей требует слияния юрисдикционных норм, бизнес-требований и устоявшихся практик.Это определяет процесс, который должен соответствовать бизнес-обязательствам, удовлетворять потребности разных юрисдикций и учитывать системные ограничения. Затем этот график хранения записей должен быть преобразован системой в график операций с данными и сопоставлен с конкретными данными, лежащими в основе этих записей. Только так он может быть по-настоящему действующим. Юридический отдел и другие заинтересованные стороны должны быть тесно вовлечены в процесс, чтобы гарантировать, что хранение данных, юридическое удержание, ответ на запрос субъекта данных и процедуры расследования интегрированы, чтобы избежать значительных последствий удаления данных, связанных с расследованием или судебным разбирательством или в некоторых случаях. другие обязательства по удержанию.
Срочное действие
Если соответствующие положения CPRA и CDPA не вступят в силу до 1 января 2023 года, то почему нужно начинать сейчас? Хотя полтора года или около того кажутся большим сроком, фактический процесс обновления или создания всеобъемлющей инвентаризации данных, как обсуждалось выше, вероятно, будет серьезной задачей.
Даже при достаточно полной карте источников данных связывание бизнес-записей с данными требует серьезного изучения бизнеса и может занять очень много времени, даже при наличии автоматизации.Наконец, должен быть установлен график хранения, а механизмы и процессы удаления согласованы с соответствующими заинтересованными сторонами.
Что именно подразумевается под удалением?
Существует общее понимание того, что в зависимости от типа задействованных данных удаление данных (также называемое «удалением данных») не всегда обязательно включает стирание или удаление данных в буквальном смысле. Действительно, правила конфиденциальности данных являются гибкими и допускают различные подходы, включая стирание/удаление, обезличивание или агрегирование данных.Хотя организациям в большинстве случаев предоставляется гибкость в выборе метода удаления, они должны обеспечить как надлежащее взаимодействие между бизнес-функциями, так и их надлежащее разделение, чтобы предотвратить непредвиденные последствия для ИТ-систем в результате изменений политики.
Тем не менее, разработка политики хранения/очистки, отражающей GDPR, CPRA и другие законодательные требования, требует значительного юридического вклада, поскольку сохранение данных оправдано, если это требуется по закону или в целях правовой защиты (сроки давности и т. д.).). Аналогичным образом, разработка работоспособных графиков удержания/очистки требует подробного юридического анализа. Со временем эти правила, как правило, можно использовать для воспроизведения процессов, но первоначальная разработка правил «результата» для различных категорий данных — это вопрос, в котором ряд заинтересованных сторон, как юристов, так и ИТ-специалистов, должны иметь место за столом переговоров.
Очевидно, что хранение данных является критическим компонентом соблюдения конфиденциальности и полезно для минимизации других типов рисков, связанных с данными. Организации должны оценить свои программы хранения данных и обновить их, чтобы они отражали текущие и будущие нормативные требования.
Хранение записей — ключевой компонент вашей программы соблюдения конфиденциальности и кибербезопасности
В этом сообщении в блоге кратко излагается наш недавний веб-семинар: « Срочное сообщение из Берлина: важность хранения записей в конфиденциальности и кибербезопасности ».
Почему этот проект должен быть приоритетным?
Усиление регулирования и правоприменения
В 2019 году мы увидели, что регулирующие органы вновь обратили внимание на то, как долго предприятия хранят личную информацию.
Самое значительное событие произошло в октябре, когда уполномоченный Берлина по защите данных и свободе информации оштрафовал немецкую компанию по недвижимости Deutsche Wohnen SE на 14,5 млн евро в связи с чрезмерным хранением персональных данных. Это посылает четкий сигнал о том, что организации больше не могут игнорировать свои обязательства, связанные с хранением данных. Орган заявил о нарушении принципов минимизации данных и конфиденциальности в соответствии с Общим регламентом ЕС по защите данных (GDPR).
В Дании датский орган по защите данных также наложил штрафы на две компании. Первый был против компании такси Taxa 4×35, которая была оштрафована на 160 000 евро за неспособность обосновать, почему были сохранены некоторые личные данные их клиентов.
Второй был против мебельной компании IDdesign A/S, которая была оштрафована примерно на 200 000 евро за незаконное хранение данных в устаревших системах и отсутствие соответствующей политики хранения данных.
Однако это не новая проблема и не проблема, ограниченная ЕС или GDPR.В США Федеральная торговая комиссия уже давно рекомендует компаниям должным образом и оперативно удалять личную информацию, когда в ее хранении больше нет необходимости по юридическим или деловым причинам. Аналогичным образом, правила Департамента финансовых услуг штата Нью-Йорк требуют от соответствующих организаций наличия соответствующих политик и процедур хранения документации.
На западном побережье Калифорнийский закон о конфиденциальности потребителей также будет стимулировать предприятия к внедрению надлежащих программ управления информацией, чтобы минимизировать затраты на запросы на доступ к данным, предоставлять исключения для запросов на удаление, а также уменьшать подверженность киберинцидентам и потенциальные частные права на действия.
Это подтверждает, что данные, которые были удалены должным образом, не могут быть случайно использованы не по назначению или ненадлежащим образом доступны.
Как компании должны изменить свое отношение к хранению данных?
В течение долгого времени компании были больше сосредоточены на риске потери данных, чем на сохранении слишком большого количества данных. Понятно, что они видели серьезные штрафы за неспособность либо (1) сохранить документы, которые они были обязаны сохранить по закону; или (2) принять разумные меры для сохранения информации, имеющей разумное отношение к потенциальному судебному разбирательству или расследованию.Компании, возможно, понимали, что чрезмерное удержание связано с затратами, такими как увеличение затрат на обнаружение, но они, казалось, меркнут по сравнению с санкциями за неспособность сохранить то, что вы должны были сохранить.
Это привело компании к ошибке в сторону чрезмерного удержания. В век информации, когда количество создаваемых, передаваемых и собираемых данных растет экспоненциально, это заставляет предприятия накапливать данные и документы.
Это усугублялось тем, что занятые сотрудники боялись, что у них не будет информации, которая может понадобиться им в будущем, и, следовательно, сохраняли материал «на всякий случай», если он понадобится им позже.
Это больше не может быть значением по умолчанию, поскольку требования законов о защите данных и проблемы кибербезопасности уравновешивают эти другие риски. Предприятиям необходимо найти решение, в котором они сохранят то, что им нужно по юридическим и деловым причинам, и утилизируют данные, которые мало или вообще не представляют ценности , более критическим способом с учетом рисков. Хранение также может быть оправдано законами о защите данных, если это необходимо для бизнеса. Однако компаниям необходимо определить применимые периоды и принять меры для удаления данных после окончания периода.Власти Берлина жаловались не на конкретный срок хранения, а на отсутствие мысли о необходимости его иметь.
Но изменение правового климата может отразиться только при наличии руководства и поддержки сверху.
Поэтому высшее руководство должно быть проинформировано о рисках чрезмерного хранения и убеждено в преимуществах удаления данных.
Необходимо установить политику или стандарт, которые затем объясняются обучением и измеряются. Необходимо признать, что у каждого есть дневная работа, и нельзя ожидать, что люди будут тратить время на сортировку и управление данными и записями наряду с другими своими обязанностями.Вот почему политика и ее графики должны быть простыми и практичными, но в то же время достаточно детализированными, чтобы отражать различные цели, для которых изначально собирались данные.
Что важно помнить, приступая к проекту хранения данных и записей?
- Не позволяйте лучшему быть врагом хорошего. Это постепенный процесс, который со временем поможет снизить риск.
- Привлеките заинтересованные стороны со всего бизнеса, которые заинтересованы в решении этой проблемы, в том числе: (1) специалистов по конфиденциальности, которые хотят уменьшить объем хранимых личных данных; (2) специалисты по хранению записей, которые хотят обеспечить хорошее управление записями и информацией на протяжении всего жизненного цикла; (3) эксперты по информационной безопасности, которые хотят уменьшить влияние кибератак; (4) ИТ-отдел, желающий снизить нагрузку на ИТ-системы и стоимость поддержки устаревших платформ; и (5) команда юристов, которая, особенно в США.
S. – желание сократить расходы на реагирование на обнаружение в судебных разбирательствах и расследованиях. - Не ограничивайте проект официальными записями и записями с установленными законом сроками хранения — организации хранят большое количество информации во множестве различных систем, и все это необходимо учитывать, включая электронную почту и другие электронные сообщения.
S. – желание сократить расходы на реагирование на обнаружение в судебных разбирательствах и расследованиях.Как создать эффективную программу управления информацией?
Хорошая программа управления информацией требует как минимум трех вещей: (1) политики; (2) график или расписание; и (3) непрерывное обучение и подотчетность.
Данные — это не просто риск. Это важнейший актив бизнеса. У бизнеса должна быть политика относительно того, как сотрудники должны относиться к этому активу. В нем должно быть указано, как сотрудники могут создавать, хранить, передавать, защищать и распоряжаться данными. Хотя крупные компании с жестким регулированием могут иметь несколько политик, учитывающих все нюансы управления данными, не всем компаниям нужна такая сложная структура.
Однако без руководства каждый сотрудник будет управлять своими данными по-своему, что приведет к неуправляемым «кладбищам данных», как это критикуют власти Берлина.
Не со всеми данными в бизнесе следует обращаться одинаково и хранить их в течение одного и того же периода времени. График хранения записей должен классифицировать информацию и давать сотрудникам рекомендации о том, как долго они должны хранить определенные данные. Мы обсудим это более подробно ниже.
Если компания просто создает и публикует политику и расписание и не обучает своих сотрудников и не привлекает их к ответственности, она не изменит их поведение и не улучшит управление данными. Управление информацией должно быть постоянной программой, которую ценит высшее руководство.Те, кто отвечает за эти проекты, должны получить бюджет и полномочия для обучения сотрудников и привлечения их к ответственности за свои методы управления данными.
Как сделать политику хранения простой и практичной?
Без чрезмерного упрощения делайте графики хранения (т.
е. ту часть, в которой указывается, как долго должны храниться записи) как можно более простыми. Сотрудники могут отслеживать лишь несколько правил и требований. Разбейте расписание по отделам и работайте над тем, чтобы разместить как можно больше официальных документов в отдельных местах (системах учета).
Существуют сотни, если не тысячи законов, устанавливающих установленные законом сроки хранения записей. Часто невозможно управлять хранением данных на таком детальном уровне. Хорошая новость заключается в том, что многие из этих требований можно сгруппировать вместе с аналогичными документами, имеющими относительно схожие сроки хранения. Кроме того, определение цели обработки персональных данных позволяет гибко группировать данные по мере необходимости. Использование «больших сегментов» для группировки типов записей на высоком уровне, хотя и не идеальное, гораздо проще в управлении и может значительно снизить риск.
После того, как эти «большие корзины» будут созданы, следующим шагом будет создание слоя матрицы персональных данных.
Под этим мы подразумеваем рассмотрение того, могут ли быть персональные данные в каком-либо из сегментов, которые могут нуждаться в специальной обработке, т. е. иметь собственную «подсегмент». Например, если некоторые записи могут содержать медицинскую информацию, может быть целесообразно удалить эти данные раньше, чем другие данные и информацию в корзине.
Должны ли транснациональные корпорации иметь единую глобальную политику и график хранения или у каждой страны должны быть свои собственные?
Мы видели множество подходов.Не существует «правильного» пути, он просто зависит от того, какой подход лучше всего подходит вашей организации с практической точки зрения, т. е. какой путь будет иметь наибольшее влияние, но при этом его проще всего поддерживать с реально доступными ресурсами.
Это может означать глобальную политику с единым графиком периодов хранения, который применяется ко всем дочерним компаниям по всему миру. Или это может означать отдельные страны или региональные расписания.
Что делать с электронной почтой?
Большинство документов, особенно сообщения электронной почты, очень быстро теряют свою ценность для бизнеса, и часто мало что можно потерять, введя периоды автоматического удаления по истечении фиксированного периода.Это может быть через год-два. Электронная почта не должна быть системой записи, и поэтому важно устанавливать более короткие и амбициозные периоды времени. Однако сотрудники имеют эмоциональную привязанность к своей электронной почте, и многие компании сталкиваются с серьезным сопротивлением удалению или ограничению электронной почты. Некоторые считают электронную почту «третьим рельсом» управления информацией.
Любые усилия по ограничению электронной почты должны быть легко реализованы сотрудниками. У них должен быть способ хранить электронные письма, которые имеют для них ценность, и им не нужно тратить много времени и усилий на удаление бесполезных писем.При этом все большее число компаний применяют короткие периоды хранения для электронной почты (всего 30–90 дней) и пожинают плоды.
В некоторых юрисдикциях деловые электронные письма необходимо хранить гораздо дольше, но это не относится ко всем электронным письмам в компании. Опять же, решение может заключаться в том, чтобы попросить сотрудников сортировать определенные электронные письма по разным адресам. В качестве альтернативы документы можно хранить только в центральной файловой системе и связывать в электронном письме, а не прикреплять.
Как мы должны обрабатывать данные, встроенные в системы?
В соответствии с GDPR многие крупные поставщики теперь предоставляют системы со встроенными автоматически запускаемыми периодами хранения.Применение этого типа функциональности, по крайней мере в будущем, может значительно снизить объем чрезмерного хранения, особенно если данные, хранящиеся в системе, являются однородными.
Исторические данные уже в системах могут потребовать дополнительных размышлений. Может быть уместно поэтапно вводить периоды хранения в течение определенного периода времени, чтобы у людей было время для извлечения данных, которые им могут понадобиться.
Что делать с устаревшими системами/лентами?
Устаревшие системы и ленты могут представлять значительные юридические и коммерческие риски.Часто мало что известно о том, что именно хранится в устаревших системах и лентах. И, даже если знания существуют, обычно возникают практические трудности с получением соответствующей информации. Зачастую они содержат значительные объемы персональных данных, которые действительно давно должны были быть удалены. Таким образом, если системы/ленты не имеют реальной ценности для бизнеса или не подлежат юридическому аресту, компаниям следует рассмотреть возможность избавления от них оптом .
Что мне делать дальше?
- Обратитесь к высшему руководству
- Вовлеките ключевых заинтересованных лиц
- Сначала определите низко висящие плоды (например,г. применять автоматические периоды хранения к системам со встроенной функцией удаления)
- Принимайте решения, основанные на риске. Определите, какие данные имеют наибольший риск или чувствительность, и активно управляйте ими. Определите, какие данные имеют наименьший риск — меньше управляйте ими.
- По возможности принимайте смелые и всеобъемлющие решения (например, применяйте автоматическое удаление к электронным письмам).
Определите, какие данные имеют наибольший риск или чувствительность, и активно управляйте ими. Определите, какие данные имеют наименьший риск — меньше управляйте ими.GDPR, CCPA и последующие: изменения в законах о конфиденциальности данных и риски правоприменения, которые необходимо отслеживать в 2019 году
Это восьмая запись в блоге Отчета о защите данных из серии публикаций в блоге CCPA, в которых рассматриваются основные элементы CCPA.Следите за дополнительными сообщениями о CCPA.
В связи со значительной правоприменительной деятельностью и принятием или предложением новых законов с начала года регулирующие органы в ЕС и США, нескольких штатах США и Конгресс США демонстрируют серьезное отношение к конфиденциальности данных.
Чтобы помочь компаниям наилучшим образом защитить данные потребителей и устранить риски правоприменения, мы представляем ниже обзор следующего:
- два заслуживающих внимания недавних правоприменительных действия регулирующих органов ЕС и США;
- изменения в законодательстве штата США о конфиденциальности данных, включая предложение Генеральной прокуратуры Калифорнии о расширении правоприменительных полномочий и коллективных исков в соответствии с Законом Калифорнии о конфиденциальности потребителей; и
- Рассмотрение Конгрессом США первого всеобъемлющего федерального закона США о конфиденциальности.
Регулирующие органы ЕС и США продолжают повышать ставки в обеспечении соблюдения конфиденциальности данных
21 января 2019 г. в качестве одного из самых крупных штрафов за конфиденциальность, объявленных в мире, Французская национальная комиссия по защите данных (CNIL) наложила штраф в размере 50 миллионов евро на технологического гиганта за нарушение Общего регламента по защите данных (GDPR). За этим последовали сообщения прессы в феврале о том, что Федеральная торговая комиссия США (FTC) в настоящее время ведет переговоры о многомиллиардном штрафе против гиганта социальных сетей, чтобы урегулировать расследование агентства в отношении его практики конфиденциальности.На сегодняшний день самым крупным штрафом, наложенным FTC на технологического гиганта за нарушение соглашения с правительством о защите данных потребителей, был штраф в размере 22,5 млн долларов США в 2012 году.
В частности, правоприменительные действия CNIL были сосредоточены на требованиях GDPR к прозрачности и согласию и содержат полезные советы для компаний, которые ищут руководство по разработке политик конфиденциальности и галочек согласия (нажмите здесь, чтобы ознакомиться с нашим предыдущим обзором многомиллионного GDPR прекрасные и ключевые выводы).
Расследование Федеральной торговой комиссии США началось сразу после скандала с Cambridge Analytica, в котором основное внимание уделялось контролю, который должна иметь компания в отношении того, как ее данные передаются и используются третьими сторонами. Однако полный объем расследования еще не опубликован, но, вероятно, будет включать более широкий обзор методов и практики обработки данных компании, в том числе того, как компания использует данные, которые она собирает от своих участников.
Эти действия CNIL и FTC сигнализируют о том, что риск нарушения конфиденциальности данных теперь является одним из главных рисков, которые компания должна учитывать в рамках своей системы управления рисками предприятия.
Законы CCPA и CCPA о копировании в США могут привлечь более пристальное внимание к нарушениям конфиденциальности в США
Несколько штатов США после принятия GDPR в мае прошлого года предлагают свои собственные законы о защите данных, которые обеспечивают определенные права потребителей, подобные GDPR.
Однако подход штатов США имеет ключевые отличия, заслуживающие внимания для компаний, работающих в США.
Калифорнийский закон о конфиденциальности потребителей (CCPA), принятый в июне 2018 года в ответ на скандал с Cambridge Analytica, должен стать самым всеобъемлющим законом о конфиденциальности данных в США.Закон вступает в силу 1 января 2020 года и, как и GDPR, предоставляет потребителям определенные права, в том числе «Право знать», «Право на доступ», «Право на отказ» и «Право на удаление». Кроме того, CCPA значительно расширяет определение личной информации, поэтому то, как эти права будут применяться на практике, требует значительных изменений в работе компаний. Закон, в отличие от любого другого ранее принятого закона о защите данных, также требует наличия ссылки для отказа на веб-сайте компаний, чтобы позволить потребителям отказаться от передачи данных третьим лицам.Закон разрешает частное право на иск в случае утечки данных и позволяет налагать административные штрафы генеральным прокурором Калифорнии в размере до 7500 долларов США за нарушение без ограничения максимальной суммы (нажмите здесь, чтобы ознакомиться с основными требованиями CCPA).
Теперь у компаний есть меньше года, чтобы внедрить программы соответствия CCPA, и тем не менее законодательный орган Калифорнии продолжает свои усилия по внесению поправок в закон, что увеличивает неопределенность для бизнеса. 22 февраля генеральный прокурор Калифорнии Ксавьер Бесерра и сенатор Ханна-Бет Джексон представили закон, усиливающий и разъясняющий CCPA.Среди прочего, законопроект: (1) больше не требует от Генеральной прокуратуры предоставления компаниям и частным лицам индивидуальных рекомендаций по соблюдению CCPA; (2) удалить формулировку, которая ранее позволяла компаниям устранять нарушения CCPA до того, как AG возбудит принудительное действие; и (3) предоставить потребителям частное право искать средства правовой защиты от любых нарушений их прав CCPA, не ограничиваясь только утечкой данных. Если это предложение будет принято, это еще больше расширит возможности AG по возбуждению принудительных действий и значительно увеличит число коллективных исков в Калифорнии.
Чтобы не отставать от Калифорнии, одиннадцать (11) штатов, включая Мэриленд, Нью-Джерси и Вашингтон, недавно приняли аналогичное законодательство. Среди прочего, законопроекты включают свои собственные версии прав на отказ и требуют новых требований к раскрытию информации, которые немного отличаются от GDPR и CCPA. В случае принятия эти законы повлекут за собой значительные затраты для компаний, поскольку они пытаются понять и внедрить систему конфиденциальности, которая соответствовала бы этому лоскутному одеялу из законов США и других стран, требования которых часто совпадают и противоречат друг другу.На самом деле, уровень сложности и неопределенности, вызванный этими различными изменениями в правовой среде, побуждает бизнес призывать Конгресс США вмешаться и внедрить национальное всеобъемлющее законодательство о конфиденциальности данных.
Реакция Конгресса США на действия регулятора и штата в отношении конфиденциальности данных
В ответ на усиление правоприменительных мер и активность штатов США 116 th Конгресс США представил несколько законопроектов о конфиденциальности данных для реализации федерального стандарта конфиденциальности данных в США.
Например, Американский закон о распространении данных (S. 142) «устанавливает требования конфиденциальности для поставщиков интернет-услуг, аналогичные требованиям, предъявляемым к федеральным агентствам в соответствии с Законом о конфиденциальности 1974 года». Закон о защите конфиденциальности в социальных сетях и правах потребителей от 2019 года (статья 189), среди прочего, требует, чтобы подпадающие под действие закона организации «(1) предлагали пользователю копию персональных данных пользователя, обработанных оператором, без платно, так и в электронном формате; и (2) уведомить пользователя в течение 72 часов после того, как ему стало известно, что данные пользователя были переданы с нарушением платформы безопасности.
Действительно, даже Счетная палата правительства США — федеральное законодательное агентство, предоставляющее Конгрессу услуги по аудиту, оценке и расследованию — рекомендует Конгрессу США принять федеральный закон о конфиденциальности данных, заявляя, что «недавние события в отношении конфиденциальности в Интернете предполагают, что Конгрессу пора рассмотреть всеобъемлющее законодательство о конфиденциальности в Интернете».
[1]
Если Конгресс США примет федеральный закон о конфиденциальности данных, он станет первым в истории федеральным стандартом конфиденциальности с обещанием единообразия и последовательности в том, что в противном случае было бы лоскутным одеялом из законов штатов и нормативных стандартов.
На этой неделе Комитет Палаты представителей по энергетике и торговле и Комитет Сената по торговле проводят слушания по ключевым вопросам, которые должно решить федеральное законодательство о конфиденциальности. Мы предоставим обновленную информацию о двух слушаниях комитета здесь.
Наш дубль
Недавние правоприменительные меры со стороны регулирующих органов ЕС и США, а также активные законодательные изменения на уровне штатов и федеральном уровне в США означают, что риски конфиденциальности данных должны быть одним из главных рисков, управляемых компаниями в рамках системы управления корпоративными рисками.Поскольку GDPR, CCPA и другие законодательные предложения штатов и США вводят новые и разные требования к сбору, обработке, совместному использованию и хранению персональных данных, компании должны проводить оценку пробелов не реже одного раза в год, чтобы выявлять любую коммерческую деятельность, которая не соответствует требованиям.
-соблюдение или представляют высокий риск для компании.
В результате особых требований в соответствии с CCPA, например, предприятиям, у которых есть сотрудники или клиенты в Калифорнии, следует рассмотреть возможность добавления следующего в свои планы проектов соответствия на 2019 год:
- просматривать и пересматривать свою Политику конфиденциальности веб-сайта, чтобы соответствовать новым требованиям к раскрытию данных, согласию и отказу от участия;
- просматривать, пересматривать и проводить обучение для нового Уведомления о конфиденциальности сотрудников, которое соответствует CCPA;
- разработать и внедрить новые процессы и обучить ключевые внутренние команды, которые будут принимать и отвечать на запросы и жалобы в отношении конфиденциальности;
- рассмотреть и протестировать планы реагирования на инциденты, которые подготовят организацию к эффективному реагированию в случае утечки данных; и
- просмотрите и разверните Основные соглашения об обслуживании с ограничениями на использование данных поставщиками услуг, которые требуются в соответствии с CCPA.
Другие наши статьи CCPA
Статья 1: Краткое изложение основных положений CCPA
Статья 2: Юридические лица, подпадающие под действие CCPA
Статья 3. Определение личной информации CCPA
Статья 4: Требования к раскрытию информации CCPA
Статья 5: CCPA «Право на удаление»
Статья 6: Генеральная прокуратура Калифорнии начинает процесс нормотворчества CCPA с первого публичного слушания, пока Конгресс обсуждает новый федеральный закон о конфиденциальности
Статья 7: Комментарии на общественном форуме CCPA в Лос-Анджелесе подчеркивают напряженность между бизнесом и группами по защите прав потребителей
Статья 8: GDPR, CCPA и последующие: изменения в законах о конфиденциальности данных и риски правоприменения, которые необходимо отслеживать в 2019 году
Статья 9: CCPA: «Поправка Генерального прокурора», вероятно, мертва
Статья 10: Невада, Нью-Йорк и другие штаты следуют Калифорнийскому закону CCPA
.
Статья 11: «Что готовится» в Сакраменто: внесены поправки в законопроект CCPA об «исключениях для сотрудников»; расширено исключение «общедоступной информации» и уточнены права доступа потребителей
Статья 12: Снова за столом переговоров: обсуждение поправок к CCPA продолжается
Статья 13: Начинается обратный отсчет одного месяца до принятия поправок к CCPA
Статья 14: CCPA: «Подождем и посмотрим» — неправильный подход
Статья 15: И затем их было пять: поправки к Закону о защите гражданских прав принимаются законодательным органом
Статья 16: Отказ от микрофона: California AG выпускает долгожданный свод правил CCPA
Статья 17: Губернатор Калифорнии подписывает все 5 поправок к CCPA
Статья 18: И снова: еще одно голосование за CCPA в 2020 году
Статья 19: Новогодние решения офицеров по обеспечению конфиденциальности
Статья 20: Состояние Союза: CCPA и далее в 2020 г.
[1] У.
Отчет S. GAO: КОНФИДЕНЦИАЛЬНОСТЬ В ИНТЕРНЕТЕ: дополнительный федеральный орган может усилить защиту прав потребителей и обеспечить гибкость, GAO-19-52: опубликовано: 15 января 2019 г. Публично опубликовано: 13 февраля 2019 г.
Глобальные законы о защите данных DLA Piper
Пожалуйста выберитеCountryAngolaArgentinaAustraliaAustriaBahrainBangladeshBelarusBelgiumBermudaBoliviaBosnia и HerzegovinaBotswanaBrazilBritish Virgin IslandsBruneiBulgariaBurundiCambodiaCanadaCape VerdeCayman IslandsChileChinaColombiaCosta RicaCroatiaCyprusCzech RepublicDenmarkDominican RepublicEgyptEstoniaEthiopiaFinlandFranceGermanyGhanaGibraltarGreeceGuernseyHondurasHong Kong, SARHungaryIcelandIndiaIndonesiaIranIrelandIsraelItalyJapanJerseyKazakhstanKenyaKuwaitKyrgyzstanLaosLatviaLesothoLithuaniaLuxembourgMacauMadagascarMalaysiaMaltaMauritiusMexicoMoldovaMonacoMontenegroMoroccoMozambiqueMyanmarNamibiaNetherlandsNew ZealandNigeriaNorth MacedoniaNorwayPakistanPanamaParaguayPeruPhilippinesPolandPortugalQatarQatar — Финансовый CentreRomaniaRussiaSaudi ArabiaSerbiaSeychellesSingaporeSlovak RepublicSloveniaSouth AfricaSouth KoreaSpainSri LankaSwedenSwitzerlandTaiwanTajikistanThailandTrinidad и TobagoTunisiaTurkeyTurkmenistanUAE — Абу-Даби Global Market Free ZoneUAE — Дубай (DIFC) ОАЭ — Дубай Health Care Город Свободная ЗонаОАЭ — ОбщиеУгандаУкраинаВеликобританияСоединенные ШтатыУругвайУзбекистанВьетнамЗамбияЗимбабве
По сравнению сСравнение countryAngolaArgentinaAustraliaAustriaBahrainBangladeshBelarusBelgiumBermudaBoliviaBosnia и HerzegovinaBotswanaBrazilBritish Virgin IslandsBruneiBulgariaBurundiCambodiaCanadaCape VerdeCayman IslandsChileChinaColombiaCosta RicaCroatiaCyprusCzech RepublicDenmarkDominican RepublicEgyptEstoniaEthiopiaFinlandFranceGermanyGhanaGibraltarGreeceGuernseyHondurasHong Kong, SARHungaryIcelandIndiaIndonesiaIranIrelandIsraelItalyJapanJerseyKazakhstanKenyaKuwaitKyrgyzstanLaosLatviaLesothoLithuaniaLuxembourgMacauMadagascarMalaysiaMaltaMauritiusMexicoMoldovaMonacoMontenegroMoroccoMozambiqueMyanmarNamibiaNetherlandsNew ZealandNigeriaNorth MacedoniaNorwayPakistanPanamaParaguayPeruPhilippinesPolandPortugalQatarQatar — Финансовый CentreRomaniaRussiaSaudi ArabiaSerbiaSeychellesSingaporeSlovak RepublicSloveniaSouth AfricaSouth KoreaSpainSri LankaSwedenSwitzerlandTaiwanTajikistanThailandTrinidad и TobagoTunisiaTurkeyTurkmenistanUAE — Абу-Даби Global Market Free ZoneUAE — Дубай (DIFC) ОАЭ — Дубай Здравоохранение City Free ZoneОАЭ — Общая информацияУгандаУкраинаВеликобританияСоединенные ШтатыУругвайУзбекистанВьетнамЗамбияЗимбабве
Закон о конфиденциальности данных: основные глобальные события в 2018 году и что может принести 2019 год | Insights
DLA Piper недавно выпустила обновление 2019 года DLA Piper Data Protection Laws of the World Handbook .
Последние обновления этого популярного ресурса очень четко показывают, что 2018 год был знаменательным для законов о конфиденциальности и защите данных, и что эта область права останется одной из самых динамичных и быстро развивающихся в течение следующего года.
В прошлом году во всем мире произошел ряд важных изменений в законодательстве о конфиденциальности: GDPR вступил в силу после двухлетнего периода реализации; ряд юрисдикций обновили или начали процесс обновления местных законов о защите данных, чтобы привести их в соответствие с GDPR; США и Бразилия открыли новые горизонты законов о конфиденциальности в своих соответствующих юрисдикциях; а Индия ввела радикальное новое законодательство о конфиденциальности.Более того, ожидается, что эта тенденция сохранится и в 2019 году.
Хотя изменений слишком много, чтобы охватить их всесторонне, ниже мы выделяем некоторые примечательные события.
GDPR
Прошло уже восемь месяцев с тех пор, как 25 мая 2019 года вступил в силу Общий регламент ЕС по защите данных (GDPR), и почти все государства-члены ввели местные законы о защите данных, которые дополняют базовое положение GDPR.
Некоторые из этих юрисдикций, в том числе Испания и Германия, отклонились от GDPR способами, выходящим за рамки специально признанных областей отступлений.Эти события подчеркивают тот факт, что, несмотря на высокий уровень гармонизации в ЕС, полного единообразия нет.
Кроме того, по всему ЕС правоприменительная деятельность явно набирает обороты, о чем свидетельствует недавний штраф в размере 50 миллионов евро, наложенный на Google, LLC французским надзорным органом, CNIL. После GDPR было зарегистрировано рекордное количество утечек данных. Затем, конечно, есть Brexit и вызванная им неопределенность в области защиты данных и далеко за ее пределами.
США
Закон о конфиденциальности потребителей штата Калифорния (CCPA) — первый в своем роде закон США — принят в Калифорнии в 2018 г. и вступает в силу 1 января 2020 г.
CCPA широко применяется к предприятиям (независимо от местонахождения), которые собирают личную информацию о жителях Калифорнии, включая клиентов и сотрудников, и соответствуют определенным пороговым значениям.
Одним из таких порогов является то, что бизнес собирает личную информацию о 50 000 потребителей в год.Это особенно низкий порог, если учесть, что IP-адрес считается личной информацией в соответствии с законом: таким образом, компании, которые управляют веб-сайтами, которые посещают 50 000 уникальных посетителей в год, могут легко достичь этой отметки, даже если они не достигают ни одного из других. пороговые значения, такие как 25 миллионов долларов годового дохода.
CCPA предоставляет жителям Калифорнии новые права на неприкосновенность частной жизни, в том числе право на доступ и удаление, право знать, как компания собирала и обрабатывала вашу личную информацию в предыдущие 12 месяцев, а также право отказаться от «продажи». вашей личной информации (включая любое раскрытие личной информации компанией в обмен на что-либо ценное).CCPA потребует значительных мер соблюдения.
Кроме того, CCPA вводит частное право на иск в случае утечки определенной незашифрованной личной информации.
Ожидается, что это частное право на иск приведет к значительному количеству групповых исков. Существует ряд шагов, которые предприятия могут рассмотреть, чтобы попытаться уменьшить вероятность групповых исков в соответствии с законом.
Ожидается, что в 2019 году несколько других штатов США примут всеобъемлющие законы о конфиденциальности, которые будут отличаться от закона Калифорнии в ключевых аспектах.( См. нашу страницу CCPA для получения новостей о разработках)
Другие разработки по всему миру
В Бразилия Общий закон о защите данных вступает в силу в феврале 2020 года. Как и GDPR, бразильский закон применяется экстерриториально, предоставляя отдельным лицам права доступа, исправления, удаления и переносимости данных.
Бахрейн также принял новый всеобъемлющий закон о защите данных, что сделало его первой страной Ближнего Востока, принявшей всеобъемлющий закон о конфиденциальности.
Кроме того, другие юрисдикции, такие как Сербия и Джерси , внесли поправки в свои законы о защите данных, чтобы привести их в соответствие с GDPR. Гонконг опубликовал «Новую концепцию этической ответственности», которая призывает предприятия, работающие в Гонконге, проводить оценку воздействия на конфиденциальность, аналогичную той, которая требуется в соответствии с GDPR.
Кроме того, ожидается, что в 2019 году ряд других юрисдикций также примет поправки к законам о защите данных, чтобы более точно привести их в соответствие с GDPR, включая Боснию и Герцеговину, Украину, Северную Македонию, Черногорию, Монако и потенциально Малайзию.Ожидается, что Швейцария примет окончательные поправки к закону о защите данных в 2020 году.
Несколько других юрисдикций, в том числе Уругвай и Израиль , также внесли существенные поправки в существующий режим защиты данных, чтобы ввести новые или измененные требования к конфиденциальности и безопасности.
Перу в 2018 году были внесены поправки в Кодекс защиты прав потребителей (Закон № 29571), запрещающие телемаркетинговые звонки, а также текстовые и электронные маркетинговые сообщения физическим лицам без предварительного информированного, явного и недвусмысленного согласия. Chil e принял конституционную поправку, устанавливающую право человека на защиту персональных данных.
Ожидаемые изменения
Одно из самых значительных изменений в законодательстве о конфиденциальности в 2019 году ожидается от India . Законопроект Индии вводит особые права для физических лиц, а также требования, которым должны соответствовать обрабатывающие предприятия. Например, предприятиям необходимо будет внедрить организационные и технические меры безопасности в отношении обработки персональных данных, в том числе для трансграничной передачи данных.Закон также устанавливает орган по защите данных для надзора за обработкой.
Другие юрисдикции в настоящее время рассматривают и, скорее всего, могут принять свой первый всеобъемлющий закон о защите данных, в том числе Индонезия, Гондурас, Кения и Зимбабве . Ожидается, что в ближайшем будущем Британских Виргинских островов , которые до сих пор не приняли всеобъемлющую защиту данных.
Сингапур входит в число других юрисдикций, которые, как ожидается, примут новые или измененные законы по конкретным вопросам конфиденциальности. Сингапур сосредоточится на положениях об уведомлении о нарушениях.
Наконец, Новая Зеландия представила законопроект о поправках к конфиденциальности, который, как ожидается, станет законом в 2019 году.
Узнайте больше об этих разработках, связавшись с нашей командой по защите данных по адресу [email protected].
Графики хранения и утилизации | Архив штата Нью-Йорк
Графики удержания и утилизации местными органами власти:
Государственный архив пересмотрел и объединил свои графики хранения и уничтожения документации органов местного самоуправления и выпустил единый комплексный график хранения для всех типов органов местного самоуправления 1 августа 2020 года.
Новый график, График хранения и утилизации документов местного самоуправления штата Нью-Йорк (LGS-1) , заменяет собой Графики CO-2, MU-1, MI-1 и ED-1. Местные органы власти должны принять LGS-1 до его использования, даже если они приняли и используют существующие графики, и должны сделать это до 1 января 2021 года. Для принятия LGS-1 доступна заполняемая PDF-копия формы разрешения модели. Для получения дополнительной информации посетите наш пресс-релиз LGS-1 и Список основных изменений.
Местные органы власти несут ответственность за сохранение и предоставление записей, помеченных как постоянные в расписании, и тех, которые, по их мнению, имеют историческую ценность. В то время как Государственный архив может предоставить руководство по оценке документов местных органов власти на предмет их непреходящей исторической или исследовательской ценности, местным органам власти следует ознакомиться с публикацией архива под названием «Оценка документов местных органов власти на предмет исторической ценности» (публикация № 50).
Местные чиновники, желающие избавиться от любых записей, созданных до 1910 года, должны заполнить и подать форму запроса на удаление.Для получения дополнительной информации свяжитесь со своим консультантом по документации (RAO) или отправьте электронное письмо в отдел планирования [email protected].
Примечание. График хранения и утилизации документов местных органов власти штата Нью-Йорк (LGS-1) заменяет собой существующие графики, перечисленные ниже. Местные органы власти должны принять LGS-1 в период с 1 августа 2020 г. по 1 января 2021 г., чтобы продолжать законное уничтожение записей. Существующие расписания, перечисленные ниже, могут продолжать использоваться в течение этого периода времени и до тех пор, пока не будет принят LGS-1.Для получения дополнительной информации см. наш Список основных изменений.
- городов
- городов
- деревень
- пожарных участков
- округов
- школьных округов
- БОКС
- ресурсные и компьютерные учебные центры для учителей
- Окружные советы профессионального образования и повышения квалификации
- прочие органы местного самоуправления
Примечание.
Эти расписания были заменены LGS-1 1 января 2021 года.Местные органы власти должны принять LGS-1 до его использования, даже если они приняли и используют графики CO-2, MU-1, MI-1 или ED-1. Если местное самоуправление не приняло ЛГС-1, оно не может законно распоряжаться какими-либо записями:
- Расписание CO-2 для округов
- Расписание ED-1 для школьных округов, BOCES и других органов управления образованием
- График МУ-1 для муниципальных образований, включая пожарные части
- Расписание МИ-1 для всех прочих правительств
График хранения и утилизации : отчеты о выборах для использования избирательными комиссиями округа Нью-Йорк , первоначально выпущенный в 1996 г. ноября и находится в ведении окружных избирательных комиссий).Окружные избирательные комиссии будут иметь постоянное юридическое право распоряжаться документами, перечисленными в расписании, после того, как они 1) официально примут расписание резолюцией и 2) представят копию резолюции в Избирательную комиссию штата.
Разрешение модели доступно на странице 8 таблицы ниже.
Записи, относящиеся к выборам, не проводимым в соответствии с Законом о выборах штата Нью-Йорк, включая выборы, не проводимые в рамках всеобщих выборов и находящиеся в ведении муниципалитетов или школьных округов, относятся к разделу «Выборы» LGS-1.
График выборов окружных советов
Хранение и распоряжение судебными протоколами
Единая судебная система разработала отдельные графики хранения и утилизации судебных протоколов, а также руководящие принципы уничтожения судебных протоколов. Суды несут ответственность за управление своими записями, включая постоянные или исторически значимые записи, за следующими исключениями:- Государственный архив получает записи судов первой и апелляционной инстанций до 1848 года, а также записи некоторых апелляционных судов после 1847 года, включая Государственный апелляционный суд.
- Каждый клерк округа хранит документы верховного или окружного суда в своем округе.
- записи и дела городских и сельских судов являются «собственностью села или города по месту жительства такого судьи» (согласно § 2019-a Закона о единообразном суде). После выхода на пенсию все деревенские или городские судьи должны подать хранящиеся у них записи в канцелярию секретаря соответствующего сельского или городского суда. В случае упразднения сельского суда активные записи должны быть переданы на хранение городскому суду для рассмотрения дела, но закрытые дела остаются в деревне на время их хранения.
Хранение и распоряжение законодательными документами
Законодательный закон требует от «секретаря или клерка каждой палаты» ведения всех «законодательных бумаг и документов» своих соответствующих палат и определяет периоды хранения для конкретных записей Сената и Ассамблеи (согласно Законодательному закону §22, §22-a и §22-б). Закон также указывает, что любая палата законодательного органа, которая хочет избавиться от записей, должна сначала уведомить Уполномоченного по вопросам образования, чтобы позволить Уполномоченному оценить материалы на предмет потенциальной исторической ценности.
Любые записи, которые считаются имеющими историческую ценность, затем должны быть переданы в «хранилища, назначенные временным председателем сената» или «спикером собрания». Закон об искусстве и культуре уполномочивает государственные архивы оценивать, приобретать, сохранять и предоставлять доступ к законодательным документам (согласно Закону об искусстве и культуре, § 57.05). Государственный архив приобрел записи законодательного органа, в том числе записи отдельных законодателей.
Хранение и уничтожение негосударственных документов
Графики хранения и уничтожения документации Государственного архива не распространяются на негосударственные документы, включая документы некоммерческих организаций, коммерческих предприятий и частных лиц.Однако требования к хранению, относящиеся к негосударственным записям, могут быть обнаружены в определенных законах штата или федеральных законах или в договорных соглашениях. Кроме того, неправительственные организации могут консультироваться и принимать (при необходимости) требования к хранению в государственных архивах, поскольку правовая основа для хранения документов в течение определенного периода времени часто одинакова для государственных и негосударственных документов.
Кроме того, для получения рекомендаций по разработке графиков хранения и утилизации в неправительственных организациях обращайтесь в ARMA International.Если вы активно собираете исторические записи другой организации, отдельного лица или группы, разработайте политику сбора, чтобы определить, что принимать и сохранять на постоянной основе как часть вашего репозитория. Для получения дополнительной информации о разработке политики сбора средств см. нашу публикацию «Укрепление Нью-Йоркской программы исторических документов: руководство для самостоятельного изучения». Свяжитесь с Государственным архивом по телефону (518) 474-6926 или по адресу [email protected], если ваш статус агентства или правительственной единицы неясен.
.
