Закон о защите информации и персональных данных: » , » 27.07.2006 N 149- ( ) /

Пять ФЗ о защите информации, которые стоит знать

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными.

Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы Mail.ru Cloud Solutions находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

1. Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
2. Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.
3. Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.
4. Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.
5. Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.
6. При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться 239 приказом ФСТЭК. В нем прописаны основные требования к защите информации на таких предприятиях.
7. Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.

Глоссарий [Справочно-правовая система по информационной безопасности]

Термин (понятие)	Раскрытие термина	Источник
Автоматизированная обработка персональных данных	Обработка персональных данных с помощью средств вычислительной техники.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 4 ст. 3
База данных (БД)	1. Представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины. 2. Совокупность данных, хранимых в соответствии со схемой данных, манипулирование которыми выполняют в соответствии с правилами средств моделирования данных.	1. Гражданский кодекс Российской Федерации — абз. 2 ч. 2 ст. 1260. Доп. см. разъяснения Минкомсвязи РФ. 2. ГОСТ Р ИСО/МЭК ТО 10032-2007: «Эталонная модель управления данными» – п. 2.36.
Биометрические персональные данные	Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – ст. 11
Блокирование персональных данных	Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 7 ст. 3
Государственные информационные системы (ГИС)	Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.	Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 1 ч. 1 ст. 13
Деобезличивание	Действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными.	«Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013) — абз. 9
Доступ к персональным данным	1. Возможность получения персональных данных и их использования. 2. Возможность ознакомления с персональными данными без возможности их копирования (извлечения).	1. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 6 ст. 2 2. Предложен альтернативный вариант.
Запись персональных данных	Ввод персональных данных в ЭВМ и (или) фиксация персональных данных на материальном носителе.	Прямого определения нет. Предложен альтернативный вариант.
Изменение персональных данных	Действия, направленные на модификацию значений персональных данных.	Прямого определения нет. Предложен альтернативный вариант.
Извлечение персональных данных	Действия, направленные на построение структурированных персональных данных из неструктурированных или слабоструктурированных машиночитаемых документов.	Прямого определения нет. Предложен альтернативный вариант.
Информация	Сведения (сообщения, данные) независимо от формы их представления.	Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 1 ст. 2
Информационная система (ИС)	Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.	Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 3 ст. 2
Информационная система персональных данных (ИСПДн)	Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 10 ст. 3
Информационный поиск персональных данных	Действия, методы и процедуры, позволяющие осуществлять отбор определенных персональных данных из массива данных	Прямого определения нет. Предложен альтернативный вариант на основе п. 3.1.3 ГОСТ 7.73-96 «Поиск и распространение информации. Термины и определения»
Информационные технологии (ИТ)	Процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.	Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 2 ст. 2
Иные информационные системы (ИИС)	Информационные системы, не являющиеся государственными информационными системами или муниципальными информационными системами.	Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 3 ч. 1 ст. 13
Использование персональных данных	Действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта ­персональных данных или других лиц.	Недействующая редакция Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» от 04.06.2011
Конфиденциальность информации	Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.	Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 7 ст. 2
Материальный носитель информации (носитель документированной информации)	Материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.	ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения» – пп. 5 п. 2.1
Муниципальные информационные системы (МИС)	Информационные системы, созданные на основании решения органа местного самоуправления.	Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – п. 2 ч. 1 ст. 13
Накопление персональных данных	Действия, направленные на формирование исходного, несистематизированного массива персональных данных.	Прямого определения нет. Предложен альтернативный вариант.
Неавтоматизированная обработка персональных данных (обработка персональных данных без использования средств автоматизации)	Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.	Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» — п.п. 1 и 2
Носитель информации	Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.	Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15.02.2008) (Выписка) – п. 1
Обезличенные данные	Данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.	«Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013) — абз. 12
Обезличивание персональных данных	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 9 ст. 3
Обновление персональных данных	Действия, направленные на приведение записанных персональных данных в соответствие с состоянием отображаемых объектов предметной области.	Прямого определения нет. Предложен альтернативный вариант.
Обработка обезличенных данных	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, с обезличенными данными, без применения их предварительного деобезличивания.	«Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013) — абз. 13
Обработка персональных данных	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 3 ст. 3
Общедоступные персональные данные	Персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.	Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ России 21 февраля 2008 г. № 149/6/6-622) – Приложение 1. Основные термины и определения
Общедоступные источники персональные данные	Содержащиеся в информационных системах или зафиксированные на материальных носителях персональные данные, доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта этих персональных данных или на ином законном основании.	Прямого определения нет. Предложен альтернативный вариант.
Оператор	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 2 ст. 3
Оператор информационной системы	Гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. Если иное не установлено федеральными законами, оператором информационной системы является собственник (владелец на ином основании) используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник (владелец) заключил договор об эксплуатации информационной системы.	Прямого определения нет. Предложен альтернативный вариант на основе п. 12 ст. 2 и ч. 2 ст. 13 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Передача персональных данных	Распространение, предоставление или доступ к персональным данным.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 3 ст. 3
Персональные данные (ПДн)	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 1 ст. 3
Персональные данные, сделанные общедоступными субъектом	Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом либо по его просьбе.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 10 ч. 1 ст. 6
Помещение	Часть объема здания или сооружения, имеющая определенное назначение и ограниченная строительными конструкциями.	Федеральный закон от 30.12.2009 № 384-ФЗ «Технический регламент о безопасности зданий и сооружений» — п. 14 ст. 2
Предоставление персональных данных	Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 6 ст. 3
Раскрытие персональных данных	Обеспечение доступа к персональным данным определенного лица, определенного круга лица или неопределенного круга лиц независимо от цели получения указанных персональных данных.	Прямого определения нет. Предложен альтернативный вариант.
Распространение персональных данных	Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 5 ст. 3
Сбор персональных данных	Целенаправленные действия оператора или специально привлеченных оператором для этого третьих лиц по получению персональных данных непосредственно от субъекта персональных данных или его представителя.	Прямого определения нет. Предложен альтернативный вариант на основе позиции Минкомсвязи. Возможность получения персональных данных от лица, не являющегося субъектом персональных данных, предусмотрена ч.ч. 6, 8 ст. 9 и ч. 3 ст. 18 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Система защиты персональных данных (СЗПДн)	Совокупность организационных и (или) технических мер, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных.	Прямого определения нет. Предложен альтернативный вариант на основе п. 2 Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Систематизация персональных данных	Действия, направленные на объединение и расположение персональных данных в определенной последовательности.	Прямого определения нет. Предложен альтернативный вариант.
Служебная информация (ограниченного доступа)	Информация, касающаяся деятельности организации, не являющаяся общедоступной и ограничение на распространение которой диктуется служебной необходимостью. Доступ к служебной информации может быть ограничен ее обладателем в рамках реализации полномочий, предусмотренных частью 3 статьи 6 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Ограничение доступа к сведениям в режиме служебной информации представляется целесообразном в том случае, когда указанные сведения не составляют иную охраняемую законом тайну — государственную, коммерческую, служебную (в отношении сведений, полученных в рамках служебных правоотношений в их публично-правовом смысле) и т. д.	Прямого определения нет. Предложен альтернативный вариант на основе п. 2.19 Приказ Роспатента от 01.12.2000 № 248 «Об утверждении Порядка ознакомления с материалами по научно-исследовательским работам и научным разработкам, выполненным в системе Роспатента (ПН-5-2000)»
Специальные категории персональных данных	Персональные данные, в том числе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – ст. 10
Технические средства (ТС)	Изделие, оборудование, аппаратура или их составные части, функционирование которых основано на законах электротехники, радиотехники и (или) электроники, содержащие электронные компоненты и (или) схемы, которые выполняют одну или несколько следующих функций: усиление, генерирование, преобразование, переключение и запоминание. Техническое средство может быть радиоэлектронным средством (РЭС), средством вычислительной техники (СВТ), средством электронной автоматики (СЭА), электротехническим средством, а также изделием промышленного, научного и медицинского назначения (ПНМ-установки).	ГОСТ 30372-95 «Совместимость технических средств электромагнитная. Термины и определения» — п. 1 Приложения 1
Технические средства (ТС) системы обработки информации	Все оборудование, включая носителя данных, предназначенное для автоматизированной обработки информации.	ГОСТ 15971-90 «Системы обработки информации. Термины и определения» – Таблица № 1, термин 5
Удаление персональных данных	Изъятие персональных данных из информационных систем с сохранением последующей возможности их восстановления.	Информационное письмо Ассоциации российских банков № 5 «Об организации работы CИБ банковских учреждений России в связи с принятием Федерального закона от 25 июля 2011 года № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»
Уничтожение персональных данных	Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 8 ст. 3
Уточнение персональных данных	Действия, направленные на обновление или изменение персональных данных.	Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» – п. 3 ст. 3
Хранение персональных данных	Действия, направленные на неизменность состояния материального носителя ПДн.	Прямого определения нет. Предложен альтернативный вариант на основе Большой советской энциклопедии.
Эксплуатация информационной системы	Включает в себя: 1. Системное и прикладное сопровождение ИС. 2. Техническое сопровождение аппаратного обеспечения ИС. 3. Системное сопровождение средств защиты информации. 4. Организацию учебного процесса пользователей ИС. 5. Выполнение работ по удаленному обслуживанию ИС и программно-технических комплексов. 6. Закупку комплектующих, запасных частей, носителей информации и расходных материалов для компьютерного оборудования, продление и/или расширение гарантийных обязательств на оборудование, входящее в состав ИС, и прочее компьютерное оборудование. 7. Модернизацию ИС в части модернизации существующих функций (включая веб-сервисы) и элементов пользовательского интерфейса, а также в части разработки и/или модернизации отчетов, разработки/модернизации форматов обмена данными. 8. Сервисное обслуживание, обновление и адаптацию ИС, на которые приобретены неисключительные права на программное обеспечение.	«Положение об эксплуатации автоматизированных информационных систем и ресурсов города Москвы» (утв. Постановлением Правительства Москвы от 07. 02.2012 г. № 26-ПП) – п. 4

Защита информации и персональных данных | Городской округ Первоуральск

Федеральные законы

• Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных” (PDF, 320KB)
• Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации” (PDF, 596KB)
• Указ Президента РФ от 05.12.2016 № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации” (PDF, 147KB)

Постановления и приказы

• Постановление Правительства РФ от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” (PDF, 98KB)
• Постановление Правительства РФ от 15.09.2008 № 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации” (PDF, 86KB)
• Приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31. 08.2010 “Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования” (PDF, 106KB)
• Приказ ФСБ России от 10.07.2014 № 378 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности” (PDF, 135KB)
• Приказ ФСТЭК России от 11.02.2013 №17 “Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах” (PDF, 348KB)
• Приказ ФСТЭК России от 18.02.2013 №21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” (PDF, 231KB)
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Выписка) (утв. ФСТЭК РФ 15.02.2008) (PDF, 618KB)

Муниципальные правовые акты

• Постановление Администрации городского округа Первоуральск №422 от 25.03.2019 “Об утверждении политики в области обеспечения безопасности персональных данных в Администрации городского округа Первоуральск” (PDF, 8MB)

ПЛЮС | Защита персональных данных

Цели создания

• Реализация обязательных требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов по обеспечению безопасности обрабатываемых персональных данных.
• Регламентация внутренних процессов обработки и защиты персональных данных операторов.

Преимущества от внедрения

• Исполнение оператором Федерального закона «О персональных данных» и, таким образом, соблюдение прав и законных интересов субъектов, персональные данные которых обрабатываются оператором в информационных системах.
• Уверенность руководства организации в обеспечении требуемого уровня защищённости обрабатываемых в ней персональных данных.
• Снижение рисков предъявления претензий со стороны надзорных органов и административной ответственности за невыполнение требований законодательства.

Федеральный закон № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты (Постановление Правительства РФ от 1 ноября 2012 г. №1119, Приказ ФСТЭК России от 18 февраля 2013 г. № 21), устанавливают ряд обязательных требований, в том числе технического характера, которые должны выполняться любыми организациями, осуществляющими обработку персональных данных (операторами персональных данных) с использованием информационных систем.

Эти требования регламентируют процессы обработки персональных данных, осуществляемые операторами, а также устанавливают обязательные меры, которые должны приниматься операторами для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Компания ЭЛВИС-ПЛЮС предлагает эффективное комплексное решение для защиты информационных систем персональных данных для распределённых систем средних и крупных предприятий. Наша компания обладает всеми необходимыми компетенциями и знаниями в области создания систем защиты информации, а также знает специфику и особенности распределенных информационных систем, обрабатывающих персональные данные.

ЭЛВИС-ПЛЮС имеет многолетний успешный опыт проектирования и внедрения систем защиты персональных данных в таких компаниях корпоративного сектора как: Российский Союз Автостраховщиков, ЛУКОЙЛ-ИНФОРМ, Сургутнефтегаз, Газпром нефть, Федеральная налоговая служба (ФНС) России, Федеральная служба государственной регистрации, кадастра и картографии (Росреестр), Системный оператор единой энергетической системы (СО ЕЭС) России, Международный Аэропорт «Шереметьево» и др.

Архитектура и основные функции Системы

Система защиты персональных данных представляет собой комплексное решение по защите и строится с помощью технических решений различных производителей. СЗПДн обеспечивает выполнение следующих мер по обеспечению безопасности ПДн (в зависимости от требуемого уровня защищённости):

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищённости персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, её средств, систем связи и передачи данных;
• выявление инцидентов и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

Перечисленные меры по обеспечению безопасности персональных данных реализуются в рамках функциональных подсистем СЗПДн, которые строятся на основе решений и продуктов зарубежных и отечественных лидеров в области защиты информации: HP, Cisco Systems, Symantec, Positive Technologies, «Лаборатория Касперского», «Аладдин Р.Д.» и др.

Услуга по созданию СЗПДн в том числе включает в себя:

• Разработку Модели угроз безопасности.
• Разработку Модели нарушителя (в случае необходимости применения средств криптозащиты ПДн).
• Разработку предложений по определению требуемых уровней защищённости ПДн, в соответствии с актуальными нормативными и законодательными документами РФ, включая разработку проектов Актов определения уровня защищённости ПДн.
• Разработку рекомендаций по применению организационных мер по обеспечению безопасности ПДн при их обработке.
• Разработку пакета или отдельных организационно-распорядительных документов, регламентирующих правила обработки персональных данных и выполнение организационных мер защиты ПДн (с учетом особенностей процессов обработки ПДн в конкретной организации и опыта компании ЭЛВИС-ПЛЮС).

По согласованию с заказчиком возможна разработка и других локальных актов организации по вопросам обработки и обеспечения безопасности персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

В качестве дополнительной услуги по обеспечению безопасности персональных данных АО «ЭЛВИС-ПЛЮС» может предложить аттестацию ИСПДн по требованиям безопасности информации. Результатом данной услуги является аттестат соответствия, подтверждающий выполнение всех нормативных требований по защите персональных данных.

Политика обработки и защиты персональных данных

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее — Политика обработки ПДн) ЧОУ ДПО «АкадемКонсалт» (далее – Оператор), ИНН 7842013349, расположенного по адресу: Санкт-Петербург, ул. Марата, д. 47-49, пом. 29Н, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01. 11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Политика обработки ПДн разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных (далее – ПДн).

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в ЧОУ ДПО «АкадемКонсалт» вопросы обработки персональных данных работников ЧОУ ДПО «АкадемКонсалт» и других субъектов персональных данных.

2. Цели обработки персональных данных

Персональные данные обрабатываются Оператором в следующих целях:

1) осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:

выполнение требований законодательства в сфере труда и налогообложения;
ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
выполнение требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами или контрагентами ЧОУ ДПО «АкадемКонсалт» (далее – субъекты персональных данных).
2) осуществления прав и законных интересов ЧОУ ДПО «АкадемКонсалт» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ЧОУ ДПО «АкадемКонсалт», или третьих лиц либо достижения общественно значимых целей;

3) в иных законных целях.

3. Правовое основание обработки персональных данных

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов:

Конституции Российской Федерации;
Трудового кодекса Российской Федерации;
Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

4. Перечень действий с персональными данным

При обработке ПДн Оператор будет осуществлять следующие действия с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5. Состав обрабатываемых персональных данных

5.1. Обработке Оператором подлежат ПДн следующих субъектов ПДн:

сотрудники Оператора;
клиенты Оператора;
контрагенты Оператора;
физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
5.2. Состав ПДн каждой из перечисленных в п. 5.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.

5.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

5.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

5.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «АкадемКонсалт» не осуществляется.

6. Обработка персональных данных

6.1. Обработка персональных данных в ЧОУ ДПО «АкадемКонсалт» осуществляется следующими способами:

неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
смешанная обработка персональных данных.

7. Обеспечение защиты персональных данных при их обработке Оператором

Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

– назначение Оператором ответственного за организацию обработки персональных данных;

– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

7.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8. Право субъекта персональных данных на доступ к его персональным данным

8.1. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных Оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Оператором способы обработки персональных данных;

– наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

–порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

8.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.

8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Защита персональных данных

Гостиница «Интермашотель» (ООО «Интермашотель») дорожит доверием гостей и понимает важность конфиденциальности предоставленной гостями персональной информации. Мы делаем все возможное, чтобы опыт он-лайн бронирования был для вас приятным и безопасным.

Это Положение о защите персональных данных описывает как «Интермашотель» собирает и использует вашу личную информацию в целом и при использовании этого веб-сайта (далее «сайт») непосредственно.

Гостиница гарантирует, что персональные данные, полученные от гостя, обрабатываются в соответствии и в целях соблюдения Конституции Российской Федерации, Федерального закона «Об информации, информационных технологиях и о защите информации» N 149-ФЗ от 27.07.2006 года, Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года, других нормативно-правовых актов, обеспечения сохранности имущества отеля и получения гостиничной услуги; с использованием всех необходимых организационно-технических мер по обеспечению безопасности персональных данных в пределах компетенции отеля, во избежание любых изменений, утраты, незаконного использования и несанкционированного доступа.

Гостиница несет ответственность за надлежащее конфиденциальное обращение с персональными данными гостя, переданными в частности при бронировании с использованием сети Интернет.

Обращаем Ваше внимание, что Вы можете использовать наш сайт без указания каких-либо сведений о Вашей личности, т.е. возможен анонимный просмотр предложений гостиницы. Вы можете получать информацию о ценах, описание нашего отеля и его услуг, просматривать наши специальные предложения. Для успешного бронирования номера на определенные даты от Вас потребуются контактные данные, позволяющие сотрудникам гостиницы выслать вам в ответ подтверждение, и далее уже вам – уверенно воспользоваться нашими услугами.

Сбор информации

Мы принимаем все меры предосторожности, для того чтобы личная информация, которую мы получаем от вас, не использовалась без вашего ведома и согласия.

Ваши персональные данные могут быть использованы для следующих целей:

• Бронирование номеров в отеле;
• Оформление проживания в отеле при непосредственном заезде в отель;
• Участия вашего адреса электронной почты в наших рекламных кампаниях;
• Для ответов на ваши вопросы и предложения.

Запросы о бронировании и система бронирования

Мы получаем информацию от гостя (пользователя) при заполнении формы для бронирования и при использовании системы бронирования. Пользователь должен предоставить контактную информацию (имя, адрес электронной почты и контактный телефон), а также сообщает даты по бронированию номера, время прибытия и отъезда, а также «дополнительную информацию для гостиницы»  — заполняется по желанию (например, предпочтительный этаж размещения номера).

Эта информация используется для предоставления подтверждения бронирования и счетов. А также, чтобы связаться с пользователем в случае возникновения проблем в процессе обработки информации.

Безопасное бронирование

Если вы решили произвести он-лайн бронирование на сайте, вы будете перенаправлены на систему бронирования, организованную третьей стороной («Система бронирования») и предоставленную нашим поставщиком системы управления номерным фондом. Система бронирования предоставлена третьей стороной, что и определяет ее политику конфиденциальности. Мы понимаем, что безопасность остаётся главной задачей онлайн-потребителей и выбрали представителя системы бронирования тщательно. Представитель системы бронирования гарантирует, что вся информация, отправленная на этот сайт, посредством Secure Socket Layer (SSL) сессии, зашифрована и защищена от разглашения третьими лицами. Вы можете ознакомиться с политикой конфиденциальности нашего партнера, перейдя по ссылке «Приватность» из нашего модуля он-лайн бронирования.

Обращаем Ваше внимание, что в целях предоставления гостиничной услуги ваши данные используются для однозначной однократной идентификации Вашего бронирования и его исполнения. Кроме подтверждения вашего бронирования, возможно получение вами всех изменений Ваших бронирований или Ваших данных.

В момент заезда и регистрации в гостинице Вы заключаете соглашение на использование ваших личных данных в конкретных ограниченных целях, подписывая регистрационную карту гостя. После выезда из гостиницы и при вашем согласии Вы сможете получать и использовать специальные предложения гостиницы. Гостиница будет использовать только Ваш адрес электронной почты и информировать Вас только о собственных предложениях. Не дав своего согласия Вы, разумеется, не сможете получать информацию о выгодных для вас ценах. При отказе от рассылки новостей адрес Вашей электронной почты будет удален из списка получателей. В любой момент данные действия со стороны гостиницы будут остановлены на основании полученного от вас письменного заявления с просьбой прекратить обработку ваших персональных данных с даты получения вашего заявления отелем.

Передача данных третьим лицам

Отель не сохраняет, не продает и не передает третьим лицам персональные данные гостей, за исключением случаев, когда предоставление информации является особой обязанностью в соответствии с законом РФ. Уважительное отношение к личной информации является частью корпоративной философии отеля.

Политика использования файлов «cookies»

Файлы «cookies» – это часть данных, хранящихся на компьютере пользователя, привязанные к информации о пользователе. Использование файлов «сookies» никак не связано с какой-либо личной информацией, в отличии от информации на сайте. Мы используем как постоянные, так и сеансовые файлы «cookie». Постоянные файлы «cookie» удаляются, как только вы закрываете браузер. Сеансовые файлы «cookie» – это небольшой текстовый файл, который хранится на жестком диске пользователя. Они могут быть удалены следуя инструкциям вашего браузера.

Ваше право на получение сведений и отмену согласия на использование персональных данных

В соответствии с Федеральным законом «О персональных данных» Вам предоставляется право на получение сведений о Ваших сохраненных данных, а также, при необходимости, право на корректировку, блокирование или удаление этих данных.

Чтобы получить доступ к своей информации, задать вопросы о наших правилах защиты конфиденциальности, изменить свои предпочтения по получению рекламных материалов или подать жалобу, обращайтесь к нам:

248025, г.Калуга, ул.Промышленная, д.12 Тел.+7 (4842) 51-55-66, 51-44-75

E-mail: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

В процессе рассмотрения Вашего персонального письменного обращения Гостиница гарантирует обеспечение конфиденциальности предоставленных вами сведений.

Положение «О защите персональных данных»

Защита персональных данных

Персональные данные — любая информация, относящаяся к физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Основные законодательные документы в области защиты персональных данных (ПДн):

В рамках оказываемых услуг выполняются следующие работы:

1. Проведение обследования информационной системы;
2. Определение уровня защищенности ПДн;
3. Разработка частной модели актуальных угроз нарушения безопасности ПДн ;
4. Разработка технического задания на создание системы защиты персональных данных;
5. Проектирование системы защиты в составе следующих решений в зависимости от выбранных технических мер:
   • Идентификация и аутентификация субъектов доступа и объектов доступа;
   • Управление доступом субъектов доступа к объектам доступа;
   • Ограничение программной среды;
   • Защита машинных носителей персональных данных;
   • Регистрация событий безопасности;
   • Антивирусная защита;
   • Обнаружение вторжений;
   • Контроль (анализ) защищенности персональных данных;
   • Обеспечение целостности информационной системы и персональных данных;
   • Обеспечение доступности персональных данных;
   • Защита среды виртуализации;
   • Защита технических средств;
   • Защита информационной системы, ее средств, систем связи и передачи данных;
   • Выявление инцидентов и реагирование на них;
   • Управление конфигурацией информационной системы и системы защиты персональных данных.
6. Выбор и обоснование организационных и технических мер, необходимых для защиты ПДн;
7. Разработка организационно-распорядительной документации;
8. Поставка, внедрение и сервисное обслуживание технических средств защиты;
9. Инструктаж, обучение персонала и повышение уровня грамотности в сфере информационной безопасности;
10. Проведение оценки соответствия требований безопасности персональных данных;
11. Введение информационной системы в эксплуатацию.

В рамках оказываемых услуг Заказчик получает следующие отчетные документы:

1. Перечень и характеристики информационной системы и ПДн, подлежащих защите;
2. Проекты приказов:
   • о назначении должностных лиц;
   • о границе контролируемой зоны;
   • об утверждении перечня персональных данных;
   • об описании технологического процесса;
   • об утверждении положения по обработке конфиденциальной информации;
   • об утверждении положения по организации и ведению работ по обеспечению безопасности.
3. Инструкции для должностных лиц;
4. Инструкция по допуску в помещения;
5. Инструкция по эксплуатации средств защиты;
6. Журналы учета;
7. Акт установки средств защиты;
8. Частная модель актуальных угроз безопасности информационной системы;
9. Техническое задание на создание системы защиты персональных данных;
10. Технический паспорт информационной системы;
11. Проект Приказа о вводе в эксплуатацию.

Нарушение требований закона при обработке персональных данных влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц, административную ответственность юридических лиц.

При разработке системы защиты, наши специалисты руководствуются индивидуальными особенностями информационных систем и спецификой деятельности компании Заказчика.

Наш многолетний опыт в защите информации (информационной безопасности) и широкой спектр партнерских решений позволяет решить весь комплекс задач Заказчика, связанный с выполнением требований законодательства по защите персональных данных.

Заказать услугу: Защита персональных данных

Заявка успешно отправленна

Мы свяжемся с Вами в ближайшее время

Личная информация | Wex | Закон США

право на неприкосновенность частной жизни: доступ к личной информации

Право на неприкосновенность частной жизни эволюционировало, чтобы защитить способность людей определять, какая информация о себе собирается и как эта информация используется. Большинство коммерческих веб-сайтов используют файлы cookie, а также формы для сбора информации от посетителей, такой как имя, адрес, адрес электронной почты, демографические данные, номер социального страхования, IP-адрес и финансовая информация.Во многих случаях эта информация затем предоставляется третьим лицам в маркетинговых целях. Другие организации, такие как федеральное правительство и финансовые учреждения, также собирают личную информацию. Угрозы мошенничества и кражи личных данных, создаваемые этим потоком личной информации, стали стимулом для законодательства о праве на конфиденциальность, требующего раскрытия методов сбора информации, возможностей отказа, а также внутренней защиты собранной информации. Однако такие требования еще не достигли всех сегментов рынка.

15 U.S.C. В § 45 Федеральная торговая комиссия (FTC) обвиняется в предотвращении «недобросовестных методов конкуренции в сфере торговли или воздействия на нее, а также недобросовестных или обманных действий или практик в торговле или влияющих на нее». В вопросах конфиденциальности роль FTC заключается в обеспечении выполнения обещаний о конфиденциальности, данных на рынке. Несколько дополнительных законов образуют основу, на которой FTC выполняет это обвинение: Закон о конфиденциальности 1974 года (5 USC § 552a), Закон Грэмма-Лича-Блили (15 USC §§ 6801-6809), Закон о справедливой кредитной отчетности ( 15 U.S.C. § 1681 и последующие) и Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506).

Закон о конфиденциальности 1974 года (5 U.S.C. § 552a) защищает личную информацию, находящуюся в распоряжении федерального правительства, предотвращая несанкционированное раскрытие такой информации. Частные лица также имеют право просматривать такую ​​информацию, запрашивать исправления и получать информацию о любых раскрытиях. Закон о свободе информации облегчает эти процессы.

Закон Грэмма-Лича Блайли (также известный как Закон о финансовой модернизации 1999 года) устанавливает руководящие принципы защиты личной финансовой информации.По закону (15 U.S.C. § 6803) финансовые учреждения обязаны предоставлять клиентам политику конфиденциальности, в которой объясняется, какие виды информации собираются и как эта информация используется. От таких организаций также требуется разработать меры безопасности для защиты информации, которую они собирают от клиентов.

Закон о справедливой кредитной отчетности (15 U.S.C. § 1681 и последующие) защищает личную финансовую информацию, собранную агентствами по предоставлению отчетов о потребителях. Закон ограничивает круг лиц, имеющих доступ к такой информации, а последующие поправки упростили процесс, с помощью которого потребители могут получать и исправлять собранную информацию о себе.FTC также активно применяет запреты на получение личной финансовой информации обманным путем — преступление, известное как «предлог».

Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506) позволяет родителям контролировать, какая информация собирается об их ребенке (младше 13 лет) в Интернете. Операторы веб-сайтов, которые либо нацелены на детей, либо сознательно собирают личную информацию от детей, должны публиковать политики конфиденциальности, получать согласие родителей перед сбором информации от детей, позволять родителям определять, как такая информация используется, и предоставлять родителям возможность отказаться будущей коллекции от их ребенка.

Однако, несмотря на права, описанные выше, другие участники рынка не обязаны по закону разрабатывать аналогичные методы защиты и раскрытия информации. Скорее, в остальной части рынка FTC поощряет добровольный режим защиты конфиденциальности потребителей. Тем не менее, в двух отчетах Конгрессу (1998, 2000) FTC обнаружила, что большинство сайтов, не подпадающих под юрисдикцию установленных законов о праве на неприкосновенность частной жизни, не информируют потребителей надлежащим образом о методах сбора информации, и большинство сайтов не обеспечивают адекватной защиты конфиденциальности данных. личная информация посетителей.Похоже, что добровольный режим недостаточен, и перспектива дальнейшего принятия законодательства о праве на неприкосновенность частной жизни в области доступа к личной информации вполне реальна.

Обнародовано

законов о конфиденциальности в Интернете — как ваша личная информация защищена в Интернете

Киберугрозы исходят из многих источников, каждый из которых стремится получить личную информацию (PI) для получения выгоды или использования. По мере того, как вторжения становятся все более изощренными, в ответ требуются дополнительные нормативные и внутренние меры безопасности.

Конфиденциальность в Интернете — это часть более широкого мира конфиденциальности данных, который охватывает сбор, использование и безопасное хранение PI в целом. Конфиденциальность в Интернете — это , в первую очередь связанное с тем, как PI предоставляется через Интернет посредством отслеживания, сбора данных, обмена данными и угроз кибербезопасности .

Исследование Pew Research Institute показало, что контроль PI в оперативном режиме «очень важен» для 74% американцев. Согласно другому исследованию Pew, 86% американцев приняли меры для сохранения своей конфиденциальности — удалили файлы cookie, зашифровали электронную почту и защитили свой IP-адрес.

Цифровые следы повсюду. Каждый раз, когда вы посещаете веб-сайт, вводите данные своей кредитной или дебетовой карты, регистрируете учетную запись, раздаете свой адрес электронной почты, заполняете онлайн-формы, публикуете сообщения в социальных сетях или сохраняете изображения или документы в облачном хранилище, вы раскрываете личную информацию. в киберпространство. Кто, кроме предполагаемого получателя, получит или будет иметь доступ к предоставленной вами информации? Будет ли он передан другим сторонам? Ваши личные данные могут быть переданы способами, о которых вы не ожидаете или о которых не подозреваете.Ваша информация может подвергаться некоторому риску, потому что даже лучшие программы информационной безопасности не имеют 100% гарантии.

Законы о конфиденциальности в Интернете

Возможности нарушения конфиденциальности в сети с годами значительно выросли. Единого закона, регулирующего конфиденциальность в Интернете, не существует. Вместо этого применяется смесь федеральных законов и законов штата. Некоторые ключевые федеральные законы, влияющие на конфиденциальность в Интернете, включают:

• Закон о Федеральной торговой комиссии (FTC) [1914] — регулирует недобросовестную или вводящую в заблуждение коммерческую практику.FTC является основным федеральным регулятором в области конфиденциальности и принимает меры против компаний. Это включает в себя несоблюдение опубликованных политик конфиденциальности и неспособность надлежащим образом защитить личную информацию.
  
• Закон о конфиденциальности электронных коммуникаций (ECPA) [1986] — защищает определенные проводные, устные и электронные сообщения от несанкционированного перехвата, доступа, использования и раскрытия.

• Закон о компьютерном мошенничестве и злоупотреблениях (CFAA) [1986] — делает незаконными определенные компьютерные действия, включая несанкционированный доступ к компьютеру для получения определенной информации, мошенничества или получения чего-либо ценного, передачи вредоносных предметов или трафика в компьютерные пароли.В закон шесть раз вносились поправки.

• Закон о защите конфиденциальности детей в Интернете (COPPA) [1998] — требует, чтобы определенные веб-сайты и поставщики онлайн-услуг получали поддающееся проверке согласие родителей перед сбором, использованием или раскрытием личной информации от несовершеннолетних в возрасте до 13 лет. Для этого также требуются веб-сайты публиковать политику конфиденциальности в Интернете, собирать только необходимую личную информацию и создавать и поддерживать разумные меры безопасности.

• Закон о борьбе с нападением на незапрашиваемую порнографию и маркетинг (Закон о CAN-SPAM) [2003] — регулирует отправку нежелательной коммерческой электронной почты и запрещает вводящую в заблуждение информацию в заголовках и вводящие в заблуждение строки темы.Он также требует от отправителей раскрытия определенной информации, включает действующий механизм отказа и предусматривает гражданские и уголовные санкции за нарушения.
• Закон о модернизации финансовых услуг (GLBA) [1999] — регулирует сбор, использование и раскрытие личной информации, собираемой или хранимой финансовыми учреждениями, и требует уведомлений клиентов и письменной программы защиты информации.
• Закон о справедливых и точных кредитных операциях (FACTA) [2003] — требует, чтобы финансовые учреждения и кредиторы поддерживали письменные программы предотвращения кражи личных данных.

Многие штаты также приняли законы, влияющие на конфиденциальность в Интернете, например, законы о защите прав потребителей, законы, защищающие определенные категории PI, законы об информационной безопасности и законы об уведомлении об утечке данных.

В дополнение к соблюдению этих законов и реализации надежных программ информационной безопасности, организации могут предпринять шаги для снижения угроз кибербезопасности.

Как вы подвергаетесь разоблачению и как защитить себя в сети

Персональная информация клиента, клиента и сотрудника, которой вы располагаете, может быть нарушена множеством способов.Адреса электронной почты, банковские операции, пароли, физические адреса, номера телефонов и многое другое могут непреднамеренно найти свои пути для мошенников, хакеров, нежелательных маркетологов и т. Д. Большинство сотрудников отдела комплаенса и права не имеют представления о том, как реализовать защиту данных от интернет-угроз. Что делать?

Пособие по угрозам для вашей организации

Одна вещь, которую может сделать ваша организация, — это разработать краткое руководство по обеспечению конфиденциальности в Интернете, которое будет легко доступно для сотрудников. Он может предоставить информацию об угрозах и передовых методах, которым необходимо следовать для вашей конкретной области:

Вот пять наиболее серьезных онлайн-угроз конфиденциальности данных, исходящих из Интернета, и передовые методы борьбы с ними:

• Небезопасные способы просмотра веб-страниц

Многие пользователи не изучают сайты, на которых они находят информацию.Часто есть признаки того, что сайты, которые вы посещаете, могут быть вредоносными и запрашивать ваш PI: бесплатные предложения, сокращенные URL-адреса, страницы, созданные с помощью социальной инженерии, чтобы обмануть пользователей, чтобы они создали учетную запись и загрузили с них вредоносное ПО.

Что вы можете сделать

Регулярно обновляйте антивирус. Используйте самый безопасный интернет-браузер — Google Chrome или Microsoft Edge — два лучших варианта. Перед загрузкой просканируйте файлы с помощью антивирусного программного обеспечения. Не используйте повторно пароли для нескольких веб-сайтов.Включите в браузере блокировщик всплывающих окон.

Файлы cookie — это файлы, загружаемые в ваш браузер веб-сайтом, которые содержат данные уникального идентификатора сайта. Однако они не содержат никакой личной информации или программного кода. Когда веб-сайт «видит» данные, которые он установил в файле cookie, он знает, что браузер уже обращался к нему раньше.

Они могут быть полезны для таких вещей, как сохранение вашей информации для входа на сайт, чтобы вам не приходилось вводить ее снова. Файлы cookie также могут использоваться для отслеживания ваших действий и покупательских привычек, а затем передаваться нежелательным третьим лицам, связанным с сайтом.

Что вы можете сделать

Настройте свой браузер на удаление файлов cookie каждый раз, когда вы заканчиваете просмотр, или установите в своем браузере запрет на использование файлов cookie, чтобы файлы cookie вообще не разрешались в вашем браузере.

В законе COPPA прямо говорится, что IP-адреса являются личной информацией, поскольку они представляют собой информацию об идентифицируемом лице, связанном с ними. Адрес Интернет-протокола (IP) — это числовая метка за знакомыми веб-адресами, которые мы видим каждый день. Он идентифицирует устройство через Интернет.Хакеры часто используют IP-адреса в качестве первой точки атаки.

Нежелательные стороны могут отследить ваш PI, просмотрев адрес вашего веб-сайта, если он указан в WHOIS, центральной базе данных, содержащей все веб-адреса в Интернете. Информация о праве собственности доступна здесь.

Что вы можете сделать

Если вы настраиваете веб-сайт, вы можете запросить приватный список WHOIS у менеджера баз данных Network Solutions. Их имя, адрес и другая информация о владельце будут отображаться вместо ваших.

При работе на вашем персональном компьютере вы можете использовать инструмент виртуальной частной сети (VPN). Хороший — IP Vanish. Вы входите в VPN как посредник. После этого ваш IP-адрес зашифровывается и проходит через VPN-провайдера в Интернет.

Сотрудники или клиенты дома «арендовали» IP-адреса вместе со своими учетными записями кабельного модема и провайдера. Ваш IP-адрес не изменится, пока вы не выключите модем. Выключайте его так часто, как чувствуете необходимость.

• Использование HTTP вместо HTTPS зашифрованных подключений к веб-серверу

Персональные данные, передаваемые между машиной пользователя и веб-сайтом с использованием простого протокола HTTP, могут отслеживаться другими компаниями или потенциально перехвачены и украдены злоумышленниками (часто называемыми «посредником»).Вот где на помощь приходит Secure Sockets Layer (SSL).

Что вы можете сделать

HTTPS или Secure Sockets Layer (SSL) шифрует информацию, передаваемую между веб-сайтом и машиной пользователя. При покупке или вводе личной информации на веб-сайтах всегда проверяйте наличие «https: //» или значка замка в адресной строке браузера, чтобы убедиться, что сайт безопасен, прежде чем вводить какую-либо личную информацию. Когда вы видите HTTPS вместо HTTP в адресной строке браузера, вы знаете, что это безопасный сайт!

Если вы размещаете веб-сайт, подумайте о внедрении SSL на своем веб-сервере, чтобы обеспечить конфиденциальность данных между вами и клиентами.Это также поможет снизить риски прямого взлома. Вам нужно будет найти центр цифровых сертификатов (ЦС), например Verisign, чтобы настроить его.

• Угроза из облака

Облачные вычисления — это новейшая и величайшая технологическая волна, которая поднимает новые проблемы для конфиденциальности данных. Это особенно верно, когда вы передаете административный и технологический контроль внешней стороне. Это само по себе является серьезной угрозой.

У поставщика облачных услуг может быть недостаток в процессах резервного копирования, методах обеспечения безопасности, средствах контроля сотрудников, интерфейсах приложений и API, и это лишь некоторые из них.Кроме того, вы никогда не знаете, у кого есть «ключи от королевства» для просмотра всех ваших данных. Страшный.

Что вы можете сделать

И вы, и поставщик облачных услуг отвечаете за безопасность, а не только за последнее. Если вы храните данные в облачном хранилище или используете облачную платформу для размещения веб-сайта, вам следует учесть несколько вещей:

• Узнайте у поставщика, кто отвечает за каждый контроль безопасности облака.
• Обучите кого-нибудь использованию предоставленных поставщиком средств идентификации и доступа, чтобы вы могли контролировать себя, кто имеет доступ к данным и приложениям.
• Убедитесь, что у провайдера есть все ваши данные, которые хранятся в зашифрованном виде
• Все крупные облачные провайдеры предлагают инструменты для ведения журналов. Используйте их, чтобы включить ведение журнала и мониторинг самозащиты для отслеживания любых попыток несанкционированного доступа и других проблем.

Сочетание государственных постановлений и ответственных индивидуальных действий может только предотвратить потенциальные киберугрозы, но не устранить их. Ваш отдел соблюдения требований и законодательства может внести свой вклад, внедрив комплексный анализ угроз и меры реагирования.

Закон о конфиденциальности данных потребителей 2020 г.

Содержание

Контакт

В последние годы ряд событий объединился, чтобы повысить осведомленность потребителей и обеспокоенность по поводу конфиденциальности: реализация Закона Калифорнии о конфиденциальности потребителей от 2018 года (CCPA), Общего регламента защиты данных Европы (GDPR) и продолжающиеся нарушения безопасности всех типов, а также все более широкое использование американцами Интернета для множества различных видов деятельности.

По данным Pew Research Center, более 80% американцев ежедневно выходят в Интернет. Из них 28% выходят в Интернет почти постоянно, а 45% выходят в Интернет несколько раз в день. Потребители теперь больше осведомлены о том, что предприятия, сайты социальных сетей и другие веб-сайты могут собирать и передавать свою личную информацию третьим лицам. Они также слышат больше о нарушениях безопасности, кибератаках и несанкционированном обмене личной информацией.

Несмотря на то, что законодательные органы штатов в течение многих лет решали вопросы конфиденциальности в различных секторах, в 2019 году больше штатов приняли всеобъемлющее законодательство о конфиденциальности (например, CCPA), чем в предыдущие годы, в дополнение к другим типам законов, направленных на защиту конфиденциальности потребителей в Интернете.Однако, несмотря на увеличение количества законопроектов, всеобъемлющее законодательство не было принято в 2019 году.

Количество счетов за конфиденциальность данных потребителей увеличилось в 2020 году по сравнению с 2019 годом, включая комплексные счета за конфиденциальность данных потребителей. В 2020 году было принято дополнительное законодательство, регулирующее сбор и использование биометрических данных или данных распознавания лиц коммерческими организациями. Однако было принято несколько законопроектов, поскольку пандемия Covid-19 нарушила законодательные сессии и резко изменила приоритеты.

Законодательство, указанное ниже, ограничивается регулированием практики конфиденциальности коммерческих организаций, онлайн-сервисов или коммерческих веб-сайтов, охватывая законодательство, касающееся конфиденциальности данных потребителей, включая счета, связанные с конфиденциальностью в Интернете, сбор биометрических данных потребителей, регулирование брокеров данных. и другие различные вопросы конфиденциальности потребителей. Законодательство, связанное с утечкой данных, сюда не включено, а некоторые дополнительные типы законов и законодательства о конфиденциальности рассматриваются отдельно в других ресурсах NCSL.

Законодательство о конфиденциальности данных потребителей, 2020 г.

Законопроекты

были рассмотрены по крайней мере в 30 штатах и ​​Пуэрто-Рико в 2020 году. Как отмечалось выше, в 2020 году было принято несколько законопроектов о конфиденциальности данных потребителей. Закон штата Мичиган SB 172 изменяет требования к страховщикам, предоставляющим клиентам политику конфиденциальности, а закон Вирджинии SB 101 позволяет продавцу сканировать машиночитаемую зону водительских прав отдельного лица в целях проверки, но требует, чтобы продавец уничтожил сохраненную информацию, когда цель, для которой она была предоставлена ​​и сохранена, была удовлетворена.Кроме того, были приняты три законопроекта Калифорнии, а именно:

• AB 82 требует, чтобы регистрационные сборы брокера данных использовались для компенсации затрат на веб-сайт в Интернете, где информация, предоставленная брокерами данных, доступна для общественности.
• AB 713 освобождает от действия Закона о конфиденциальности потребителей информацию, которая была деидентифицирована в соответствии с указанным федеральным законом или политикой.
• AB 1281 освобождает от действия закона CCPA определенную информацию о занятости и личную информацию, используемую в деловых коммуникациях и транзакциях.

Кроме того, предложение 24 Калифорнии, если оно будет одобрено избирателями в Калифорнии в ноябре, еще больше расширит законы штата о конфиденциальности данных потребителей. Это позволит потребителям: (1) запретить предприятиям делиться личной информацией; (2) исправить неточную личную информацию; и (3) ограничить использование компаниями «конфиденциальной личной информации», например, точного геолокации; гонка; этническая принадлежность; религия; генетические данные; членство в профсоюзе; частные коммуникации; а также определенную сексуальную ориентацию, здоровье и биометрическую информацию.Он запретил бы предприятиям хранить личную информацию дольше, чем это разумно необходимо, и утроил бы максимальные штрафы за нарушения в отношении потребителей младше 16 лет. Он учредил бы Калифорнийское агентство по защите конфиденциальности для обеспечения соблюдения и выполнения законов о конфиденциальности потребителей и наложения административных штрафов.

Аризона

AZ HB 2728
Статус: сбой — отложен
Относится к биометрическим идентификаторам, относится к коммерческой цели, относится к согласию.

AZ HB 2729
Статус: сбой — отложен
Относится к личным данным, относится к обработке, относится к стандартам безопасности.

AZ HCR 2013
Статус: сбой — отложен
Относится к данным потребителей, относится к конфиденциальности, относится к федеральным стандартам.

AZ SB 1614
Статус: сбой — отложен
Относится к данным потребителя, относится к конфиденциальности.

Калифорния

CA AB 82
Статус: введен в действие
Этот законопроект потребует внесения регистрационных сборов брокера данных в Фонд реестра брокеров данных, который в соответствии с этим законопроектом будет создан в Государственном казначействе, чтобы Департамент мог их потратить. юстиции, по решению Законодательного собрания, для компенсации затрат на веб-сайт в Интернете, где информация, предоставленная брокерами данных, доступна для общественности.

CA AB 713
Статус: введен в действие
Исключения из Закона о конфиденциальности потребителей Информация, которая была деидентифицирована в соответствии с указанным федеральным законом, была получена из медицинской информации, защищенной медицинской информации, индивидуально идентифицируемой информации о здоровье или идентифицируемой частной информации, в соответствии с указанной федеральной политикой. Запрещает компании или другому лицу повторно идентифицировать информацию, которая была деидентифицирована, если только не соблюдается указанное исключение.

CA AB 846
Статус: Принят
Примечание : Положения в первоначальной версии этого законопроекта, призванные разъяснить Закон о конфиденциальности потребителей Калифорнии 2018 года, были изменены из AB 846.

CA AB 873
Статус: сбой — отложен
Пересматривает определение деидентифицированной информации для целей Закона о конфиденциальности потребителей, чтобы означать информацию, которая не идентифицирует и не может быть связана прямо или косвенно с конкретным потребителем.Указывает, что личная информация включает указанную информацию, которая, среди прочего, может быть разумно связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.

CA AB 981
Статус: сбой — отложен
Исключает право потребителя требовать от компании удалить или не продавать личную информацию потребителя в соответствии с Законом о конфиденциальности потребителей, если необходимо сохранить или передать личную информацию потребителя совершить страховую сделку по запросу потребителя.

CA AB 1138
Статус: наложено вето
По разрешению физическому или юридическому лицу, которое ведет бизнес в штате и которое управляет веб-сайтом или приложением в социальной сети, разрешать лицу младше указанного возраста создавать учетную запись на веб-сайте или в приложении, кроме случаев веб-сайт или приложение получает согласие родителя или опекуна лица перед созданием учетной записи с использованием метода, который включает разумные меры, гарантирующие, что лицо, дающее согласие, является родителем или законным опекуном такого лица.

CA AB 1281
Статус: введен в действие
Распространяет исключения из Закона о защите прав потребителей на определенную информацию, собранную бизнесом о физическом лице, когда это лицо выступает в качестве соискателя работы, сотрудника, владельца, директора, должностного лица медицинский персонал или подрядчик и личная информация, отражающая письменное или устное общение или транзакцию между бизнесом и потребителем до указанной даты.

CA AB 1395
Состояние: сбой — отложено
Запрещает физическому или юридическому лицу обеспечивать работу функции распознавания голоса в пределах штата без явного уведомления пользователя во время первоначальной настройки или установки интеллектуального динамика.Запрещает любые деидентифицированные фактические записи или транскрипции, собранные или сохраненные с помощью функции распознавания голоса производителем подключенного телевизора или интеллектуального динамика, от использования в каких-либо рекламных целях или для продажи.

CA AB 1416
Статус: сбой — отложен
Указывает, что Закон штата о конфиденциальности потребителей не ограничивает способность бизнеса соблюдать какие-либо правила или постановления, принятые в соответствии с законами штата или федеральными законами.Устанавливает исключение из закона для бизнеса, который предоставляет личную информацию потребителя государственному учреждению исключительно для целей выполнения государственной программы, если выполняются указанные требования.

CA AB 1665
Статус: отклонено — отложено
Принимает Закон о спортивной тренировке. Учреждает Калифорнийский совет по спортивной подготовке в рамках Департамента по делам потребителей для выполнения лицензионных, регулирующих и дисциплинарных функций. Запрещает человеку тренироваться в качестве спортивного тренера или использовать определенные названия или термины без лицензии совета директоров.Требуется лицензированный спортивный тренер для занятий только в сотрудничестве с врачом и хирургом.

CA AB 2261
Состояние: сбой — отложено
Требуется процессор, как определено, который предоставляет услуги распознавания лиц, среди прочего, для предоставления интерфейса прикладного программирования или других технических возможностей, выбранных процессором, для включения контроллеры или третьи стороны для проведения законных, независимых и разумных тестов этих служб распознавания лиц на точность и несправедливые различия в производительности между отдельными группами населения.

CA AB 2280
Статус: Отказ — отложен
В этом законопроекте будет определена «информация о личном медицинском свидетельстве» для целей закона, означающая индивидуально идентифицируемую информацию в электронной или физической форме о психическом или физическом состоянии человека, которое является собираются одобренным FDA коммерческим интернет-сайтом, онлайн-сервисом или продуктом, который используется физическим лицом по указанию поставщика медицинских услуг с основной целью сбора и который собирает индивидуально идентифицируемую личную информацию о здоровье человека путем прямого измерения психического или физического состояния человека или путем ввода данных пользователем о психическом или физическом состоянии человека.Законопроект будет предусматривать, что компания, предлагающая потребителю программное обеспечение или оборудование для ведения личных медицинских карт, чтобы сделать информацию доступной для физического лица или поставщика медицинских услуг по запросу этого лица или поставщика медицинских услуг, чтобы разрешить лицо для управления своей информацией или для диагностики, лечения или управления состоянием здоровья человека считается поставщиком медицинских услуг в соответствии с требованиями Закона о конфиденциальности медицинской информации.

CA AB 3212
Статус: сбой — отложен
Запрещает физическому или юридическому лицу, ведущему бизнес в этом штате, которое управляет веб-сайтом или приложением в социальных сетях, которое требует согласия на подписку перед продажей личной информации несовершеннолетнего для получения согласия на продавать личную информацию несовершеннолетнего способом, отличным от общих условий и положений веб-сайта социальной сети или приложения.

CA SB 108
Статус: отказ — отложен
Вносит поправки в Закон о контроле над алкогольными напитками.Запрещает лицензиату использовать или продолжать использовать алкогольный сервер без действующей сертификации алкогольного сервера, начиная с указанной даты. Предоставляет начальнику отдела по обеспечению соблюдения, а также всем следователям, инспекторам и заместителям Бюро по контролю за каннабисом полномочия офицеров по поддержанию мира, распространяющиеся на любое место в штате при осуществлении своих полномочий или выполнении своих обязанностей, установленных законами о расследовании.

CA SB 980
Статус: Нарушено вето
Утверждает Закон о конфиденциальности генетической информации.Запрещает компаниям, предоставляющим услуги по генетическому тестированию или тестированию на заболевания, напрямую потребителям раскрывать генетическую информацию человека третьим лицам без получения предварительного письменного согласия лица. Требует, чтобы действия по судебному преследованию осуществлялись исключительно окружным прокурором, окружным советником, городским прокурором или городским прокурором.

Коннектикут

CT SB 134
Статус: сбой — отложен
Обеспокоен конфиденциальностью потребителей, требует, чтобы компании раскрывали предполагаемое использование любой личной информации и давали потребителям право узнавать, какой личной информацией обладает компания, и отказаться от продажи такую ​​информацию и создать основание для иска и взыскания за нарушение таких требований.

Флорида

FL HB 963
Статус: сбой
Относится к конфиденциальности данных потребителей, запрещает использование личных данных, содержащихся в общедоступных записях, для определенного маркетинга, сбора запросов и контактов без согласия отдельных лиц, содержит определения.

FL SB 1670
Статус: сбой
Относится к конфиденциальности данных потребителей, запрещает использование личных данных, содержащихся в общедоступных записях, для определенного маркетинга, сбора запросов и контактов без согласия лиц, определяет условия.

Гавайи

HI HB 761
Статус: сбой — отложен
Определяет, что розничные продавцы могут предоставлять подтверждение покупки в электронной форме участнику программы постоянного покупателя, требует, чтобы розничные торговцы, предлагающие электронное подтверждение покупки, имели разумные меры предосторожности для защиты участников. персональная информация.

HI HB 2572
Статус: Не выполнено — отложено
Выполняет рекомендации Рабочей группы по закону о конфиденциальности XXI века.

HI SB 418
Статус: сбой — отложен
Требует, чтобы бизнес раскрыл категории и конкретные фрагменты идентифицирующей информации, собранной о потребителе по проверяемому запросу потребителя, раскрывает личность третьих сторон, которым был продан бизнес или передал идентифицирующую информацию о потребителе по проверяемому запросу потребителя.

HI SB 1534
Статус: сбой — отложен
Требует от оператора мероприятия раскрыть количество билетов, доступных для продажи широкой публике, на мероприятие, запрещает развлекательные заведения, финансируемые за счет пожертвований, государственных средств или освобождена от налогов при заключении эксклюзивных контрактов на продажу билетов, запрещает продавцам билетов раскрывать личную информацию покупателей билетов.

HI SB 2451
Статус: сбой — отложен
Запрещает третьей стороне продавать или использовать личную информацию о потребителе, которая была продана третьей стороне бизнесом, если потребитель не получил явного уведомления, предоставляет явное письменное согласие , и предоставляется возможность воспользоваться правом отказа, определяет требования к уведомлению для предприятий.

HI SB 2185
Статус: Отказ — отложен.
Исключает нарушения конфиденциальности первой степени и определенные нарушения конфиденциальности второй степени, из требований для отсроченного принятия заявления о признании вины или заявления о признании несогласным.Ограничивает государственное использование систем распознавания лиц, за исключением определенных обстоятельств.

Айдахо

ID HB 492
Статус: сбой — отложен
Устанавливает определенные обязательства для пользователей технологии распознавания лиц, определенные права для лиц, чьи данные распознавания лиц были собраны, а также определенные обязательства в отношении ответственности государственных органов, которые собирают или используют технология распознавания.

Иллинойс

IL HB 1426
Статус: Не выполнено — отложено
Вносит поправки в Закон о защите конфиденциальности граждан, вносит технические изменения в раздел, касающийся краткого названия.

IL HB 2736
Статус: сбой — отложен
Создает действие о праве на информацию, предусматривает, что оператор коммерческого веб-сайта или онлайн-службы, собирающий через Интернет личную информацию об отдельных клиентах, проживающих в стране, которые используют или посещают ее коммерческие веб-сайт или онлайн-сервис должен уведомлять этих клиентов об определенной информации, касающейся их практики обмена личной информацией.

IL HB 2785
Статус: сбой — отложен
Создает Закон о защите конфиденциальности геолокации, определяет геолокационную информацию, приложение на основе местоположения, частное лицо и пользователя, предусматривает, что частное лицо не может собирать, использовать, хранить или раскрывать информация о геолокации из приложения на основе местоположения на устройстве пользователя, если только частное лицо сначала не получит утвердительное явное согласие лица после выполнения указанных требований к уведомлению, предусматривает исключения, предусматривает, что нарушение закона является незаконной практикой.

IL HB 2871
Статус: сбой — отложен
Создает Закон о регистрации брокера данных, требует, чтобы брокер данных ежегодно регистрировался у государственного секретаря, определяет брокера данных как бизнес или единицу бизнеса, отдельно или вместе, которые сознательно собирает и продает или лицензирует третьим сторонам личную информацию потребителя, с которым компания не имеет прямых отношений.

IL HB 3051
Статус: сбой — отложен
Создает Закон о защите конфиденциальности приложений, требует, чтобы организация, которая владеет, контролирует или управляет веб-сайтом, онлайн-сервисом или программным приложением, указала в своих соглашениях с клиентами или применимых условиях, является ли третья сторона Стороны собирают электронную информацию непосредственно с цифровых устройств лиц, которые используют или посещают ее веб-сайт, онлайн-службу или программное приложение, требует раскрытия имен этих третьих сторон и категорий собираемой информации.

IL HB 3130
Статус: Не выполнено — отложено
Вносит поправки в Закон о конфиденциальности генетической информации, включает прямое коммерческое генетическое тестирование для потребителей в определение генетического тестирования.

IL HB 3357
Статус: сбой — отложен
Создает Закон о конфиденциальности данных, дает только краткое название.

IL HB 3358
Статус: сбой — отложен
Создает Закон о прозрачности и конфиденциальности данных, устанавливает, что люди имеют право на неприкосновенность частной жизни и личную имущественную заинтересованность в информации, относящейся к человеку, предусматривает, что организация, которая собирает данные через Интернет личная информация об отдельных потребителях должна раскрывать отдельную информацию относительно сбора информации, устанавливает, что потребитель имеет право отказаться от продажи информации о потребителе, создает определенные исключения.

IL HB 4975
Статус: сбой — отложен
Вносит поправки в Закон о защите личной информации, создает право интеллектуальной собственности на людей для продолжения использования личной информации, когда нарушение не устранено в течение тридцати дней или когда личная информация человека не может быть сертифицирована на предмет полного извлечения от лица, участвующего в несанкционированном приобретении, или от тех, кому данные лица были переданы в дальнейшем.

IL HB 5288
Статус: сбой — отложен
Создает Закон о конфиденциальности данных, предусматривает регулирование использования и продажи данных, определяет условия, устанавливает права потребителей на копии информации, хранящиеся у лиц, которые контролируют и обрабатывают данные, предусматривает исправление неточных данных, предусматривает ограничения на использование личных данных, обеспечивает исполнение закона Генеральным прокурором, предусматривает гражданско-правовые санкции, отменяет самоуправление.

IL HB 5374
Статус: Отказ — Отложен
Вносит поправки в Закон о конфиденциальности биометрической информации, изменяет срок письменного разрешения на письменное согласие, предусматривает, что письменная политика, разработанная частным лицом, обладающим биометрическими идентификаторами, должна быть выполнена доступный лицу, у которого должна быть собрана или была собрана биометрическая информация, предусматривает, что иск, возбужденный в соответствии с законом, должен быть возбужден в течение одного года после основания иска, возникшего при определенных обстоятельствах.

IL HB 5603
Статус: сбой — отложен
Создает Закон о конфиденциальности потребителей, предусматривает, что потребитель имеет право потребовать, чтобы компания, которая собирает личную информацию потребителя, раскрыла этому потребителю категории и определенные части личной информации, компания собрала, требует, чтобы компания, в момент сбора или до него, проинформировала потребителя о категориях личной информации, которая должна быть собрана, и целях, для которых категории личной информации должны использоваться.

IL SB 413
Статус: Не выполнено — отложено
Вносит поправки в Закон о защите конфиденциальности граждан, вносит технические изменения в раздел, касающийся краткого названия.

IL SB 907
Статус: Не выполнено — отложено
Вносит поправки в Закон о защите конфиденциальности граждан, вносит технические изменения в раздел, касающийся краткого названия.

IL SB 2134
Статус: сбой — отложен
Вносит поправки в Закон о конфиденциальности биометрической информации, удаляет формулировку, создающую частное право на иск, вместо этого предусматривает, что любое нарушение, являющееся результатом сбора биометрической информации работодателем для трудоустройства, кадровых ресурсов , предотвращение мошенничества или обеспечение безопасности подлежат исполнительному органу Департамента труда, предусматривается, что сотрудник или бывший сотрудник может подать в Департамент жалобу о нарушении.

IL SB 2149
Статус: сбой — отложен
Создает право знать Закон о прозрачности и конфиденциальности данных, предусматривает, что оператор коммерческого веб-сайта или онлайн-службы, собирающей личную информацию через Интернет об отдельных клиентах, проживающих в или посетить свой коммерческий веб-сайт или онлайн-сервис должен уведомить этих клиентов об определенной указанной информации, относящейся к его методам обмена личной информацией, требует от оператора предоставления определенной указанной информации при раскрытии.

IL SB 2263
Статус: сбой — отложен
Создает Закон о конфиденциальности данных, обеспечивает регулирование использования и продажи данных, определяет условия, устанавливает права потребителей на копии информации, хранящиеся у лиц, которые контролируют и обрабатывают данные, предусматривает исправление неточных данных, предусматривает ограничения на использование личных данных, обеспечивает исполнение Закона Генеральным прокурором, предусматривает гражданско-правовые санкции, отменяет самоуправление.

IL SB 2273
Статус: сбой — отложен
Создает Закон об автоматическом прослушивании, определяет условия, предусматривает, что это незаконно для человека, который предоставляет любую интеллектуальную услугу через проприетарный интеллектуальный динамик, чтобы сохранить или сделать запись или расшифровку любую речь или звук, записанные интеллектуальным динамиком, или использовать любое хранилище, запись или расшифровку любого голосового взаимодействия пользователя с голосовым пользовательским интерфейсом, или передавать такую ​​запись или расшифровку стенограммы третьей стороне для любых целей без получения явного информированное согласие.

IL SB 2330
Статус: сбой — отложен
Создает Закон о прозрачности и конфиденциальности данных, предусматривает, что любой бизнес, который обрабатывает личную информацию или деидентифицированную информацию, должен до обработки уведомить потребителя, к которому эта информация относится или принадлежит конкретной информации в соглашении об оказании услуг или в любом месте, легкодоступном на веб-сайте компании или в мобильном приложении, устанавливает право потребителей знать и предписывает типы информации, которую они могут запрашивать у предприятий.

IL SB 3299
Статус: сбой — отложен
Создает Закон о конфиденциальности потребителей, предусматривает, что потребитель имеет право потребовать, чтобы компания, собирающая личную информацию потребителя, раскрыла этому потребителю категории и конкретные части личной информации, которые компания собрала, требует, чтобы компания, в момент сбора или до него, проинформировала потребителя о категориях собираемой личной информации и целях, для которых эти категории личной информации должны использоваться.

IL SB 3414
Статус: сбой — отложен
Создает Закон о защите частной жизни домашних хозяйств, предусматривает, что правоохранительные органы не должны получать электронные данные домашних хозяйств или направлять получение электронных данных домашних хозяйств от частных лиц или других третьих лиц, предусматривает исключения, предусматривает, что если правоохранительный орган получает электронные данные домашнего хозяйства в соответствии с законом, агентство должно уничтожить всю полученную информацию.

IL SB 3591
Статус: Отказ — Отложен
Вносит поправки в Закон о конфиденциальности биометрической информации, удаляет формулировку, согласно которой выигравшая сторона может взыскать убытки с частного лица, которое по неосторожности нарушает закон за каждое нарушение закона, вместо этого предусматривает, что преобладающий Сторона может взыскать заранее оцененные убытки в определенной сумме или фактические убытки, в зависимости от того, что больше, и что такие убытки за небрежное нарушение со стороны частного лица должны быть взысканы только для одного сбора биометрических идентификаторов каждой потерпевшей стороны.

IL SB 3593
Статус: сбой — отложен
Внесены поправки в Закон о конфиденциальности биометрической информации, изменен срок письменного разрешения на письменное согласие, предусматривается, что письменная политика, разработанная частным лицом, обладающим биометрическими идентификаторами, должна быть выполнена доступный лицу, у которого должна быть собрана или собрана биометрическая информация, предусматривает, что иск, возбужденный в соответствии с законом, должен быть возбужден в течение одного года после возникновения причины иска.

IL SB 3776
Статус: Отказ — Отложен
Вносит поправки в Закон о конфиденциальности биометрической информации, предусматривает, что выигравшая сторона может взыскать только заранее оцененные убытки в размере 1000 долларов США или фактические убытки, в зависимости от того, что больше, за небрежное нарушение Закона против частного лица Сторона-нарушитель, которая не является текущим или бывшим работодателем преобладающей стороны, предусматривает, что преобладающая сторона может взыскать фактический ущерб только с частного лица, являющегося виновным, которое является текущим или бывшим работодателем преобладающей стороны.

Луизиана

LA HB 617
Статус: сбой — отложен
Обеспечивает защиту личной информации.

LA HB 654
Статус: сбой — отложен
Обеспечивает защиту личной информации.

LA HB 662
Состояние: сбой — отложено
Относится к программному обеспечению распознавания лиц.

Массачусетс

MA HB 243
Статус: сбой — отложен
Относится к защите личных данных.

MA HB 349
Статус: сбой — отложен
Регулирует размещение рекламы в Интернете.

MA HB 350
Статус: сбой — отложен
Относится к онлайн-сбору личной информации от детей и несовершеннолетних.

MA HB 382
Статус: сбой — отложен
Относится к сбору, использованию, раскрытию или распространению личной информации от клиентов поставщиков телекоммуникационных или интернет-услуг.

MA HB 1403
Статус: сбой — отложен
Относится к конфиденциальности несовершеннолетних в Интернете.

MA SB 120
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей.

MA SB 1936
Статус: Не удалось — отложено
Обеспечивает сетевой нейтралитет и защиту потребителей.

Мэриленд

MD HB 249
Статус: сбой
Разрешает потребителям требовать, чтобы компания не раскрывала личную информацию потребителя третьим сторонам, и воспользоваться правом отказаться от раскрытия информации третьими сторонами с помощью определенных настроек, включая настройку браузера, Расширение браузера или глобальная настройка устройства запрещает компании раскрывать личную информацию потребителя третьей стороне, если компания имеет определенные сведения или умышленно игнорирует тот факт, что потребителю не исполнилось 18 лет.

MD HB 307
Статус: сбой — отложен
Требует, чтобы каждое частное лицо, обладающее биометрическими идентификаторами или биометрической информацией, разработало письменную политику, доступную для общественности, устанавливающую определенный график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрическая информация требует, чтобы каждое частное лицо, обладающее биометрическими идентификаторами или биометрической информацией, соблюдало политику хранения и уничтожения частного лица, за исключением определенных обстоятельств.

MD HB 752
Статус: сбой
Запрещает человеку использовать сканирующее устройство для сканирования или считывания удостоверения личности человека или водительских прав для получения личной информации, запрещает лицам сохранять, продавать или передавать любую информацию, полученную из сканирование или считывание удостоверения личности или водительских прав человека предусматривает, что Закон не запрещает сотруднику правоохранительных органов использовать сканирующее устройство для записи, хранения или передачи информации, если они действуют в рамках своих обязанностей.

MD HB 784
Статус: сбой
Требует, чтобы определенные предприятия, которые собирают личную информацию потребителя, предоставляли потребителю определенные четкие и заметные уведомления в момент сбора или до него, разрешает потребителю подать определенный запрос информации в определенный бизнес, который собирает личную информацию потребителя, требует от определенного бизнеса выполнения определенного запроса информации определенным образом и в течение 45 дней после получения поддающегося проверке запроса потребителя.

MD HB 1065
Статус: сбой — отложен
Запрещает коммунальной компании и подрядчику делиться, раскрывать или иным образом делать доступной третьей стороне личную информацию клиента, за определенным исключением, запрещает коммунальной компании и подрядчик от продажи личной информации клиента требует, чтобы каждая коммунальная компания и подрядчик использовали разумные процедуры и методы обеспечения безопасности для защиты личной информации клиента от определенных несанкционированных действий.

MD HB 1578
Статус: сбой — отложен
Выражает мнение Генеральной Ассамблеи о том, что технология распознавания лиц может представлять определенные риски, а также обеспечивать различные преимущества, и что необходимы меры предосторожности, позволяющие использовать эту технологию различными способами. которые приносят пользу обществу, устанавливают определенные требования и определенные запрещенные действия, связанные с предоставлением услуг распознавания лиц определенными лицами, запрещают определенным государственным органам использовать услуги распознавания лиц при определенных обстоятельствах.

MD HB 1656
Статус: сбой — отложен
Требует, чтобы определенные предприятия, которые собирают личную информацию потребителя, предоставили потребителю определенные четкие и заметные уведомления в точке сбора или до нее, разрешает потребителю подать определенный запрос на информацию определенному бизнесу, который собирает личную информацию о потребителях, требует от определенного бизнеса выполнить определенный запрос о предоставлении информации определенным образом и в течение определенного времени, учреждает Фонд защиты конфиденциальности потребителей.

MD SB 476
Статус: сбой — отложен
Выражает мнение Генеральной Ассамблеи о том, что технология распознавания лиц может представлять определенные риски, а также обеспечивать различные преимущества, и что необходимы меры предосторожности, чтобы разрешить использование технологии различными способами. которые приносят пользу обществу, устанавливают определенные требования и определенные запрещенные действия, связанные с предоставлением услуг распознавания лиц определенными лицами, запрещают определенным государственным органам использовать услуги распознавания лиц при определенных обстоятельствах.

MD SB 957
Статус: сбой — отложен
Требует, чтобы определенные предприятия, которые собирают личную информацию потребителя, предоставили потребителю определенные четкие и заметные уведомления в момент сбора или до него, разрешает потребителю подать определенный запрос на информацию определенному бизнесу, который собирает личную информацию о потребителях, требует от определенного бизнеса выполнения определенного запроса о предоставлении информации определенным образом и в течение определенного количества дней после получения поддающегося проверке запроса потребителя.

Мэн

ME LR 2602
Статус: сбой — отложен
Относится к мерам по защите конфиденциальности потребителей от поставщиков онлайн-контента, приложений или услуг.

ME LR 2878
Статус: сбой — отложен
Относится к действию по расширению защиты конфиденциальности информации о потребителях в Интернете.

Мичиган

MI HB 4658
Состояние: сбой — отложено
Регулирует сбор личной информации путем сканирования машиночитаемых, выданных государством водительских прав или удостоверений личности.

MI SB 172
Статус: введен в действие
Изменяет требования к страховщикам, предоставляющим клиентам политику конфиденциальности.

Миннесота

MN HB 112
Статус: Отказ — Отложен
Относится к генетической информации, изменяет существующий закон об использовании генетической информации государственными учреждениями, создает новый закон о защите потребителей, касающийся использования генетической информации.

MN HB 1030
Статус: сбой — отложен
Относится к телекоммуникациям и конфиденциальности данных, запрещает сбор личной информации без письменного согласия клиента.

MN HB 2917
Статус: сбой — отложен
Относится к конфиденциальности данных, требует от контроллеров предоставления, исправления или ограничения обработки персональных данных по запросу потребителя, требует от контроллеров предоставления уведомления о конфиденциальности и оценки риска документа, предусматривает ответственность и гражданско-правовые санкции, наделяет генерального прокурора исполнительными полномочиями.

MN HB 2975
Статус: сбой — отложен
Относится к конфиденциальности данных, требует согласия перед тем, как поставщики предоставят аудио- или видеоданные третьим сторонам.

MN HB 3096
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей, дает потребителям различные права в отношении личных данных, налагает обязательства по обеспечению прозрачности данных на предприятия, создает частное право иска, обеспечивает исполнение со стороны генерального прокурора.

MN HB 3936
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей, дает потребителям различные права в отношении персональных данных, налагает обязательства на предприятия в отношении данных потребителей, обеспечивает исполнение со стороны генерального прокурора, требует отчета.

MN SB 433
Статус: сбой — отложен
Относится к телекоммуникациям, конфиденциальности данных, запрещает сбор личной информации при отсутствии письменного согласия клиентов.

MN SB 1553
Статус: сбой — отложен
Относится к коммерции, требует от поставщиков телекоммуникационных услуг соблюдения требований конфиденциальности в Интернете, определяет термины и изменяет определения, требует прямого одобрения раскрытия информации, позволяющей установить личность, увеличивает порог гражданской ответственности.

MN SB 2912
Статус: сбой — отложен
Относится к конфиденциальности данных, требует от контроллеров предоставления, исправления или ограничения обработки персональных данных по запросу потребителя, требует от контроллеров предоставления уведомления о конфиденциальности и оценки риска документа, предусматривает ответственность и гражданско-правовые санкции, наделяет генерального прокурора исполнительными полномочиями.

MN SB 4247
Статус: сбой — отложен
Относится к конфиденциальности данных потребителей, дает потребителям различные права в отношении персональных данных, налагает обязательства на предприятия в отношении данных потребителей, обеспечивает исполнение со стороны генерального прокурора, требует отчета.

Миссури

MO HB 2375
Статус: сбой — отложен
Изменяет закон, касающийся защиты прав потребителей и правоохранительных органов, ограничивая использование биометрических данных человека.

Миссисипи

MS SB 2548
Статус: сбой
Создает Закон о конфиденциальности данных потребителей штата Миссисипи, разрешает потребителям запрашивать у компаний раскрытие определенной информации, разрешает потребителям запрашивать у компаний удаление личной информации, собранной компаниями, требует от компаний раскрытия определенной информации потребителям , чтобы информировать потребителей об их праве требовать удаления личной информации, а также удалять личную информацию, собранную о потребителях по запросу.

Небраска

NE L 746
Статус: Отказ — отложен
Принимает Закон Небраски о конфиденциальности данных потребителей.

Нью-Гэмпшир

NH HB 536
Статус: сбой — отложен
Запрещает компаниям использовать, раскрывать или сохранять биометрическую информацию о физическом лице.

NH HB 1236
Статус: Не выполнено — отложено
Устанавливает основание для иска в случае нарушения требований конфиденциальности в отношении личной информации.

NH HB 1417
Статус: сбой — отложен
Расширяет запрет на сбор биометрических данных для частных лиц.

NH HB 1466
Статус: сбой
Освобождение от запрета на сканирование, запись, сохранение или хранение информации, полученной из водительских прав.

NH HB 1680
Статус: сбой — отложен
Предоставляет потребителям право требовать от компании раскрытия типа собираемой личной информации, цели, для которой она собирается, и категорий третьих сторон, которым она передается. , разрешает потребителям отказаться от продажи их личной информации, устанавливает частное право на иск и предусматривает дальнейшее исполнение со стороны генерального прокурора.

NH SB 316
Статус: Отказ — Отложен
Устанавливает уголовное наказание за неспособность защитить личную информацию другого человека.

Нью-Джерси

NJ AB 1181
Статус: в ожидании
Требуется, чтобы коммерческий веб-сайт в Интернете и операторы онлайн-услуг опубликовали свою политику конфиденциальности на видном месте.

NJ AB 2188
Статус: в ожидании
Требуются коммерческие веб-сайты в Интернете и онлайн-сервисы для уведомления клиентов о сборе и раскрытии информации, позволяющей установить личность, и предоставления клиентам возможности отказаться.

NJ AB 2340
Статус: ожидается
Запрещает коммерческим поставщикам мобильных услуг раскрывать данные о геолокации клиентов третьим лицам.

NJ AB 2489
Статус: ожидается
Запрещает коммерческим поставщикам мобильных услуг и разработчикам мобильных приложений раскрывать данные о местоположении клиентов третьим лицам.

NJ AB 3072
Статус: ожидается
Относится к Закону об информации об электронном распознавании речи потребителя, запрещает работу функции распознавания голоса на подключенном устройстве до информирования пользователя о функции распознавания голоса во время первоначальной настройки или установки подключенного устройства.

NJ AB 3255
Статус: в ожидании
Требует от определенных предприятий уведомлять клиентов об определенной информации, касающейся сбора и продажи информации, позволяющей установить личность, и позволять клиентам соглашаться на сбор и продажу.

NJ AB 3283
Статус: ожидается
Относится к государственному Закону о раскрытии и прозрачности подотчетности (ДАННЫЕ), устанавливает определенные требования к раскрытию и обработке информации, позволяющей установить личность, создает Управление защиты данных и ответственного использования в Отделе по делам потребителей.

NJ AB 3525
Статус: в ожидании
Требует от агентств по информированию потребителей усилить защиту личной информации потребителей.

NJ SB 236
Статус: сбой
Требуются коммерческие веб-сайты в Интернете и онлайн-сервисы для уведомления клиентов о сборе и раскрытии информации, позволяющей установить личность, и позволяет клиентам отказаться от участия.

NJ SB 269
Статус: в ожидании
Требует, чтобы определенные предприятия уведомляли субъектов данных о сборе личной информации, устанавливает определенные стандарты безопасности.

NJ SB 1223
Статус: в ожидании
Запрещает розничным торговым предприятиям хранить определенные данные с магнитных полос, требует возмещения затрат, понесенных финансовым учреждением из-за нарушения безопасности.

NJ SB 1257
Статус: Ожидается
Требуются коммерческие Интернет-сайты и онлайн-сервисы для уведомления потребителей о сборе и раскрытии личной информации, позволяет потребителям отказаться.

NJ SB 1317
Статус: ожидается
Требует от агентств по информированию потребителей усилить защиту личной информации потребителей.

Нью-Йорк

NY AB 235
Статус: сбой — отложен
Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для использования для влияния на объем бизнеса, продажи или рынок делиться или оценивать эффективность маркетинговой практики или маркетингового персонала.

NY AB 431
Статус: сбой — отложен
Запрещает продажу отчетов с данными о занятости без письменного согласия потребителей, при условии, что такие отчеты с данными о занятости должны включать, помимо прочего, информацию о заработной плате и доходах, отработанных часах, истории потребителей и информация о медицинском страховании.

NY AB 1911
Статус: сбой — отложен
Устанавливает закон о биометрической конфиденциальности, требует от частных лиц, обладающих биометрическими идентификаторами или биометрической информацией, разработать письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнего взаимодействия лица с частным лицом, в зависимости от того, что произойдет раньше.

NY AB 2775
Статус: сбой — отложен
Запрещает любому лицу раскрывать медицинскую или личную информацию лицам, которые занимаются доступом и сбором информации в коммерческих целях или чье использование такой информации будет связано с с маркетингом продукта или услуги без явного письменного разрешения субъекта данных.

NY AB 3308
Статус: сбой — отложен
Регулирует сбор, раскрытие и распространение личной информации, полученной поставщиком компьютерных услуг в Интернете, для обеспечения конфиденциальности информации о подписчиках и схемах заработной платы.

NY AB 3612
Статус: сбой — отложен
Требует, чтобы поставщики интернет-услуг предоставили клиентам копию своей политики конфиденциальности и получили письменное и явное разрешение от клиента перед тем, как поделиться, использовать, продать или предоставить третьей стороне любая конфиденциальная информация такого клиента.

NY AB 3739
Статус: сбой — отложен
Вносит поправки в Общий закон о предпринимательской деятельности, ограничивает раскрытие личной информации предприятиями.

NY AB 3818
Статус: Не удалось — отложено
Относится к принятию Закона о защите прав потребителей в Интернете, определяет условия, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности и Практика сбора и использования данных, связанных с его рекламной деятельностью, содержит соответствующие положения.

NY AB 5306
Состояние: сбой — отложено
Относится к использованию функций распознавания голоса в определенных продуктах.

NY AB 6351
Статус: сбой — отложен
Предоставляет потребителю право запросить у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых эта информация собирается, деловые цели для сбора или продажи информации, а также категории третьих лиц, которым эта информация передается.

NY AB 7268
Статус: сбой — отложен
Требуется явное и положительное согласие перед сбором, хранением или передачей любой личной информации, полученной в результате установки или использования системы, подключенной к умному дому, определенными лицами.

NY AB 7736
Статус: сбой — отложен
Устанавливает «Закон о ваших данных» с целью обеспечения защиты и прозрачности при сборе, использовании, хранении и передаче личной информации.

NY AB 8113
Статус: сбой — отложено
Требует от производителей умных динамиков получить подписанное письменное разрешение от пользователей перед сохранением голосовых записей.

NY AB 8526
Статус: сбой — отложен
Принимает Закон штата Нью-Йорк о конфиденциальности, требующий от компаний раскрытия своих методов деидентификации личной информации, принятия специальных мер безопасности при обмене данными и разрешения потребителям получать имена всех организаций, кому передается их информация, создает специальную учетную запись для финансирования нового Управления конфиденциальности и защиты данных.

NY A 10704
Статус: сбой — отложен
Создает стандарты конфиденциальности для электронных медицинских товаров и услуг, требует согласия на сбор и / или передачу личной медицинской информации или других личных данных.

NY SB 224
Статус: отказ — отложен
Вносит поправки в Общий закон о предпринимательской деятельности, ограничивает раскрытие личной информации предприятиями.

NY SB 518
Статус: сбой — отложен
Запрещает раскрытие личной информации поставщиком интернет-услуг без явного письменного согласия потребителя.

NY SB 1180
Статус: сбой — отложен
Запрещает поставщикам интернет-услуг раскрывать личную информацию, когда потребитель требует, чтобы его информация не разглашалась, определяет условия, делает исключения, налагает гражданский штраф.

NY SB 1203
Статус: сбой — отложен
Устанавливает закон о биометрической конфиденциальности, требует от частных лиц, обладающих биометрическими идентификаторами или биометрической информацией, разработать письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнего взаимодействия лица с частным лицом, в зависимости от того, что произойдет раньше.

NY SB 1204
Состояние: сбой — отложено
Относится к использованию функций распознавания голоса в определенных продуктах.

NY SB 1464
Статус: сбой — отложен
Требует, чтобы требования интернет-провайдера сохраняли конфиденциальность всей информации о клиенте, если клиент не предоставил письменное согласие.

NY SB 2323
Статус: Не выполнено — отложено
Относится к созданию закона о защите прав потребителей в Интернете, определяет условия, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности и ее политике конфиденциальности. Практика сбора и использования данных, связанных с его рекламной деятельностью, содержит соответствующие положения.

NY SB 2398
Статус: сбой — отложен
Вносит поправки в Общий закон о предпринимательской деятельности, касается личной информации держателя кредитной или дебетовой карты, добавляет почтовый индекс, адрес электронной почты, домашний, мобильный и рабочий телефонные номера в личная информация защищена.

NY SB 2500
Статус: сбой — отложен
Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для использования для влияния на объем бизнеса, продажи или рынок делиться или оценивать эффективность маркетинговых практик или маркетингового персонала.

NY SB 3147
Статус: сбой — отложен
Требует, чтобы розничные продавцы размещали предупреждающие знаки отслеживания клиентов с помощью сотовых телефонов или других электронных устройств, предусматривает гражданские штрафы.

NY SB 3970
Статус: сбой — отложен
Запрещает продажу отчетов с данными о занятости без письменного согласия потребителей, при условии, что такие отчеты с данными о занятости должны включать, помимо прочего, информацию о заработной плате и доходах, отработанных часах, истории потребителей и информация о медицинском страховании.

NY SB 4411
Статус: сбой — отложен
Предоставляет потребителю право запросить у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых собирается эта информация, бизнес-цели для сбора или продажи информации, а также категории третьих лиц, которым эта информация передается.

NY SB 5245
Статус: отказ — отложен
Относится к продаже личной информации поставщиком интернет-услуг.

NY SB 5642
Статус: сбой — отложен
Принимает Закон штата Нью-Йорк о конфиденциальности, требующий от компаний раскрытия своих методов деидентификации личной информации, принятия специальных мер безопасности при обмене данными и разрешения потребителям получать имена всех организаций, кому передается их информация, создает специальную учетную запись для финансирования нового Управления конфиденциальности и защиты данных.

NY SB 6848
Статус: Не удалось — отложено
Относится к требованию регистрации брокеров данных и указанию генеральному прокурору поддерживать веб-сайт таких регистраций.

NY SB 7641
Статус: сбой — отложен
Требует от производителей умных динамиков получить подписанное письменное разрешение от пользователей перед сохранением голосовых записей.

Пенсильвания

PA HB 1049
Статус: сбой — отложен
Обеспечивает конфиденциальность данных потребителей, обеспечивает права потребителей и обязанности предприятий, связанные со сбором личной информации, а также обязанности генерального прокурора.

Род-Айленд

RI HB 7778
Статус: сбой — отложен
Создает Закон о прозрачности и защите конфиденциальности, требующий от поставщиков онлайн-услуг и коммерческих веб-сайтов, которые собирают, хранят и продают личную информацию, раскрывать, какие категории личной информации они собирают и каким третьим лицам они продают информацию.

RI SB 2430
Статус: сбой — отложен
Создает Закон о защите конфиденциальности потребителей, требует от предприятий, которые собирают, хранят или продают личную информацию, уведомлять потребителей и раскрывать информацию, а также об использовании информации предприятиями, предусматривает, что потребители могут отказаться и удалить личную информацию.

Южная Каролина

SC HB 4812
Статус: сбой — отложен
Вводит в действие Закон о конфиденциальности биометрических данных, устанавливает определенные требования для бизнеса, который собирает биометрическую информацию о потребителе, позволяет потребителю запрашивать у компании удаление собранной биометрической информации и запрещает продажа биометрической информации, устанавливает определенные стандарты ухода за бизнесом, собирающим биометрическую информацию, устанавливает процедуру отказа потребителя от продажи биометрической информации.

Южная Дакота

SD SB 185
Статус: сбой
Регулирует использование технологии распознавания лиц.

Теннесси

TN SB 1841
Статус: сбой — отложен
Запрещает коммерческой организации по генетическому тестированию напрямую потребителю делиться личными данными генетических тестов или другой личной информацией о потребителе с третьей стороной без явного письменного согласия потребителя или повестка в суд, или постановление суда.

Юта

UT SB 249
Статус: сбой
Вводит в действие Закон штата Юта о конфиденциальности потребителей.

Вирджиния

VA HB 473
Статус: Ожидается — перенос
Относится к личным данным, относится к Закону о конфиденциальности штата Вирджиния, дает потребителям право доступа к своим данным и определения того, были ли они проданы брокеру данных, требуется контроллер, определенный в законопроект как лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных для облегчения запросов на осуществление прав потребителей в отношении доступа, исправления, удаления, ограничения обработки, переносимости данных, возражений и профилирования .

VA HB 955
Статус: Ожидается — Перенос
Относится к защите конфиденциальности детей в Интернете, запрещает любому лицу, которое управляет веб-сайтом в коммерческих целях и которое собирает или хранит личную информацию от пользователей или посетителей такого веб-сайта или в Интернете. сервис от раскрытия личной информации, полученной от несовершеннолетних, для любых целей, за исключением случаев, когда личная информация предоставляется лицу, отличному от оператора, который обеспечивает поддержку внутренних операций веб-сайта, онлайн-службы или онлайн-приложения.

VA SB 101
Статус: Принят
Относится к сканированию информации из водительских прав, позволяет продавцу сканировать машиночитаемую зону удостоверения личности или водительских прав, выданных Департаментом транспортных средств, для проверки подлинности таких или для проверки личности человека, когда человек запрашивает услугу в соответствии с членством или соглашением об обслуживании, позволяет продавцу провести такое сканирование для проверки личности.

VA SB 641
Статус: Ожидается — перенос
Относится к гражданскому иску, относится к продаже личных данных, требует от лица, которое распространяет, получает, хранит или собирает личные данные о потребителе за плату, для реализации мер безопасности для защищать конфиденциальность личных данных потребителя, получать явное согласие бланка несовершеннолетнего перед продажей личных данных такого несовершеннолетнего, предоставлять потребителям доступ к их собственным личным данным, хранящимся у организации, и воздерживаться от хранения или продажи данных .

Вермонт

VT HB 157
Состояние: сбой — отложено
Относится к принятию минимальных стандартов безопасности для подключенных устройств.

VT HB 899
Статус: сбой — отложен
Относится к содействию защите потребителей данных и технологий.

Вашингтон

WA HB 1503
Статус: сбой — отложен
Обязанности брокеров данных по регистрации и защите прав потребителей.

WA HB 1854
Статус: сбой — отложен
Защищает данные потребителей.

WA HB 2046
Состояние: сбой — отложено
Повышает прозрачность данных потребителей.

WA HB 2742
Статус: сбой — отложен
Относится к управлению и надзору за личными данными.

WA HB 2759
Состояние: сбой — отложено
Создает список прав потребителей данных.

WA SB 5376
Статус: сбой — отложен
Защищает данные потребителей.

WA SB 5377
Статус: сбой — отложен
Обеспокоенность продажами данных и управлением.

WA SB 6281
Статус: сбой — отложен
Относится к управлению и надзору за личными данными.

Висконсин

WI AB 870
Статус: сбой
Относится к доступу потребителя к личным данным, обрабатываемым контролером, предусматривает штраф.

WI AB 871
Статус: сбой
Относится к удалению персональных данных потребителей контроллерами, предусматривает штраф.

WI AB 872
Статус: сбой
Ограничивает контроллеры от использования личных данных потребителей, предусматривает штраф.

WI SB 851
Статус: сбой
Обеспокоен конфиденциальностью данных потребителя, предоставляет полномочия по принятию правил, предусматривает штраф.

Западная Вирджиния

WV HB 4106
Статус: сбой — отложен
Относится к Закону о конфиденциальности биометрической информации.

WV HB 4898
Статус: сбой — отложен
Облагает операторов коммерческих данных общим налогом на услуги интеллектуального анализа данных.

WV SB 260
Статус: сбой — отложен
Сбор личной информации предприятиями розничной торговли для определенных целей.

Пуэрто-Рико

PR SB 1231
Статус: ожидается
Создает Закон о защите конфиденциальности цифровых данных с целью защиты личной информации потребителей и гарантии права на неприкосновенность частной жизни в эпоху цифровых технологий.

Положения и условия LexisNexis

Дополнительные ресурсы

Всеобъемлющее сравнение законов штата США о конфиденциальности

Последнее обновление: 26 апреля 2021 г.

На государственном уровне импульс всесторонних законопроектов о конфиденциальности находится на рекордно высоком уровне.После того, как в 2018 году был принят Закон Калифорнии о конфиденциальности потребителей, несколько штатов предложили аналогичный закон для защиты потребителей в своих штатах. Исследовательский центр IAPP Westin составил нижеприведенный список предложенных и введенных в действие всеобъемлющих законопроектов о конфиденциальности со всей страны, чтобы помочь нашим членам не отставать от меняющегося ландшафта конфиденциальности штата.

Хотя многие из законопроектов, включенных в таблицу, не станут законом, сравнение ключевых положений в каждом законопроекте может помочь понять, как конфиденциальность развивается в Соединенных Штатах.Законопроекты, отклоненные или умершие в комитете, не будут немедленно удалены, потому что их включение помогает проиллюстрировать, как штаты думают о конфиденциальности. Мы определили 16 положений, которые обычно встречаются во всеобъемлющих законах о конфиденциальности, и поместили «х» в соответствующий столбец, если это положение включено в конкретный законопроект. 13 общих положений о конфиденциальности разбиты на две категории — права потребителей и деловые обязанности — и описаны под таблицей.

В таблицу включены законопроекты, предназначенные для комплексных подходов к регулированию использования личной информации в государстве — отраслевые, информационные или узконаправленные (например.g., законопроекты о защите данных) не включаются, если они не имеют сопутствующего законодательного акта, который в совокупности создает комплексную структуру, применимую к отрасли, имеющей центральное значение для экономики совместного использования данных (например, поставщикам интернет-услуг или технологическим компаниям).

Исследовательский центр Westin будет периодически обновлять эту таблицу. Если вам известно о предлагаемом государственном законопроекте (с официально представленной формулировкой), которого нет в нашем списке, сообщите об этом исследовательскому центру Westin, research @ iapp.орг.

Примечание относительно упущения Nevada SB 220 и Maine LD 946:
Когда этот трекер был запущен в 2018 году, по всей стране было введено несколько всеобъемлющих законопроектов о конфиденциальности. В то время мы решили включить законы, которые были законопроектами о конфиденциальности, но не обязательно всеобъемлющими. Однако законодательный ландшафт изменился. В этом году, когда мы переоценили счета штата Мэн и Невада, мы решили, что они больше не соответствуют нашим требованиям, чтобы оставаться на графике, и намеренно удалили эти два счета из графика.

---

Элементы таблицы

• Законодательный процесс — Законодательный орган каждого штата имеет уникальный законодательный календарь и различные законодательные процедуры; этот набор столбцов обобщает эти различные законодательные процедуры на шесть категорий:
  • Внесено — Законопроект внесен на рассмотрение законодательной палаты, но еще не внесен в комитет.
  • In Committee — Законопроект проходит через различные комитеты в палате его происхождения.
  • Пересеченная палата — законопроект прошел голосование в своей исходной палате и перемещен в противоположную палату законодательного органа (например, палата представителей штата приняла закон, и он перешел в сенат штата).
  • Cross Committee — Законопроект проходит через различные комитеты в палате, не являющейся исходной.
  • Принято — Обе палаты законодательного органа приняли закон.
  • Подпись — губернатор подписал законопроект, и теперь он является законом.
• In Session — Список законодательных собраний штата, которые в настоящее время заседают или находятся только на временном (по сравнению с расширенным) перерывом.

---

Резервы в таблице

Права потребителей

• Право доступа к личной информации, собранной или переданной — Право потребителя на доступ от управляющего предприятием / контролером данных к информации или категориям информации, собранной о потребителе, информации или категориям информации, переданной третьим сторонам, или конкретные третьи стороны или категории третьих лиц, которым была предоставлена ​​информация; или некоторая комбинация аналогичной информации.
• Право на исправление — Право потребителя требовать исправления неверной или устаревшей личной информации, но не удаления.
• Право на удаление — Право потребителя требовать удаления личной информации о потребителе при определенных условиях.
• Право на ограничение обработки — Право потребителя ограничивать возможность бизнеса обрабатывать личную информацию о потребителе.
• Право на переносимость данных — Право потребителя запрашивать раскрытие личной информации о потребителе в общем формате файла.
• Право отказаться от продажи личной информации — Право потребителя отказаться от продажи личной информации о потребителе третьим лицам.
• Право против автоматизированного принятия решений — Запрет бизнесу принимать решения в отношении потребителя исключительно на основе автоматизированного процесса без участия человека.
• Частное право потребителя на предъявление иска — Право потребителя требовать от компании возмещения гражданского ущерба за нарушение закона.

---

Деловые обязательства

• Строгое согласие на продажу личной информации потребителя младше определенного возраста — Ограничение, наложенное на бизнес, чтобы обращаться с потребителями моложе определенного возраста с отказом по умолчанию на продажу их личной информации .
• Уведомление / требования к прозрачности — Обязательство, возложенное на бизнес, по уведомлению потребителей об определенных методах обработки данных, операциях по обеспечению конфиденциальности и / или программах обеспечения конфиденциальности.
• Обязательная оценка рисков — Обязательство, возложенное на бизнес, проводить официальную оценку рисков проектов или процедур конфиденциальности и / или безопасности.
• Запрет на дискриминацию потребителя при реализации права — Запрет бизнесу, который обращается с потребителем, который реализует право потребителя, иначе, чем с потребителем, который не пользуется правом.
• Ограничение цели / обработки — Ограничительная структура в виде Общего регламента ЕС по защите данных, запрещающая сбор / обработку личной информации, за исключением определенных целей.

Просмотр элементов таблицы

---

Предыдущие издания

Здесь вы можете найти архивные выпуски Всеобъемлющего сравнения законодательства штата США о конфиденциальности с документами, сгруппированными по годам внесения законопроектов.

---

Полный справочник законов о конфиденциальности по штату

AK, AL, AR, AS, AZ, CA, CO, CT, DC, DE, FL, GA, HI, IA, ID, IL, IN, KS, KY, LA, MA, MD, ME, MI, MN , MO, MS, MT, NC, ND, NE, NH, NJ, NM, NV, NY, OH, OK, OR, PA, RI, SC, SD, TN, TX, UT, VA, VT, WA, WI , WV, WY

Просмотрите составные части этих законов и их сравнение, обратившись к таблице сравнения законов штата IAPP о полной конфиденциальности.

Активные счета

Закон / законопроект: HB 216 (щелкните для просмотра)
Общее название: Алабама Закон о конфиденциальности потребителей
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Алабаме, щелкните здесь.

Активные счета

Закон / закон: SB 116 (щелкните для просмотра)
Общее название: Закон о конфиденциальности данных потребителей
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP на Аляске, щелкните здесь.

Невыполненные счета

Закон / закон: HB 2865 (щелкните для просмотра)

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Аризоне, щелкните здесь.

Принятые законы

Закон / законопроект: AB 375 / SB 1121 (щелкните, чтобы просмотреть)
Общее название: Закон о конфиденциальности потребителей Калифорнии

---

Закон / законопроект: Предложение 24 (щелкните для просмотра)
Законодательный процесс: Вступает в силу с января 2023 года.

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Калифорнии, щелкните здесь.

Активные счета

Закон / закон: SB 190 (щелкните, чтобы просмотреть)
Законодательный процесс: Введено

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Колорадо, щелкните здесь.

Активные счета

Статут / законопроект: SB 893 (щелкните для просмотра)
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP в Коннектикуте, щелкните здесь.

Активные счета

Статут / законопроект: HB 969 (щелкните для просмотра)
Законодательный процесс: Cross Committee

---

Закон / закон: SB 1734 (щелкните, чтобы просмотреть)
Общее название: Закон о защите конфиденциальности Флориды
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Флориде, щелкните здесь.

Активные счета

Закон / законопроект: HB 3910 (щелкните для просмотра)
Общее название: Закон о конфиденциальности потребителей
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Иллинойсу, щелкните здесь.

Невыполненные счета

Статут / законопроект: HB 408 (щелкните для просмотра)

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Кентукки, щелкните здесь.

Невыполненные счета

Закон / законопроект: SB 0930 (щелкните для просмотра)
Общее название: Закон штата Мэриленд о защите прав потребителей в Интернете

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Мэриленде, щелкните здесь.

Активные счета

Закон / законопроект: SD 1726 (щелкните для просмотра)
Общее название: Закон о конфиденциальности информации штата Массачусетс
Законодательный процесс: Введено

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Массачусетсе, щелкните здесь.

Активные счета

Закон / законопроект: HF 1492 (щелкните для просмотра)
Общее название: Закон Миннесоты о конфиденциальности данных потребителей
Законодательный процесс: Комитет

---

Закон / Законопроект: HF 36 (щелкните для просмотра)
Законодательный процесс: В Комитете

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Миннесоте, щелкните здесь.

Невыполненные счета

Закон / законопроект: SB 2612 (щелкните, чтобы просмотреть)
Общее название: Закон о конфиденциальности потребителей штата Миссисипи

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Миссисипи, щелкните здесь.

Активные счета

Закон / законопроект: ab3283 (щелкните, чтобы просмотреть)
Общее название: Закон штата Нью-Джерси о раскрытии информации и подотчетности
Законодательный процесс: Комитет

---

Закон / Закон: ab3255 (щелкните для просмотра)
Законодательный процесс: В Комитете

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Нью-Джерси, щелкните здесь.

Активные счета

Закон / законопроект: A 680 (щелкните, чтобы просмотреть)
Общее название: Закон о конфиденциальности Нью-Йорка
Законодательный процесс: Комитет

---

Закон / законопроект: A 6042 (щелкните для просмотра)
Общее название: Закон о цифровой справедливости
Законодательный процесс: Комитет

---

Статут / законопроект: SB 567 (щелкните, чтобы просмотреть)
Законодательный процесс: Комитет

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Нью-Йорке, щелкните здесь.

Невыполненные счета

Статут / законопроект: HB 1330 (щелкните для просмотра)

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Северной Дакоте, щелкните здесь.

Невыполненные счета

Закон / законопроект: HB 1602 (щелкните для просмотра)
Общее название: Оклахома Закон о конфиденциальности компьютерных данных

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Оклахоме, щелкните здесь.

Невыполненные счета

Закон / закон: SB 200 (щелкните для просмотра)
Общее название: Закон о конфиденциальности потребителей

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Юте, щелкните здесь.

Принятые законы

Закон / законопроект: HB 2307 (щелкните для просмотра)
Общее название: Закон о защите данных потребителей

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Вирджинии, щелкните здесь.

Активные счета

Закон / законопроект: HB 3741 (щелкните для просмотра)
Законодательный процесс: Введено

---

Чтобы просмотреть больше новостей и ресурсов IAPP по Техасу, щелкните здесь.

Невыполненные счета

Закон / закон: HB 1433 (щелкните, чтобы просмотреть)
Общее название: Закон о конфиденциальности людей

---

Закон / законопроект: SB 5062 (щелкните для просмотра)
Общее название: Вашингтонский закон о конфиденциальности 2021 г.

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Вашингтоне, щелкните здесь.

Невыполненные счета

Закон / закон: HF 3159 (щелкните для просмотра)

---

Чтобы просмотреть больше новостей и ресурсов IAPP о Западной Вирджинии, щелкните здесь.

---

Подход США к защите конфиденциальности

Мы являемся свидетелями глобальной тенденции — защита конфиденциальности данных становится приоритетом как для частных лиц, так и для организаций и правительств. Поскольку правительства работают над тем, чтобы взять под контроль защиту прав на конфиденциальность данных, организациям приходится пересматривать способы сбора, хранения и обработки личной информации.Что представляют собой персональные данные, варьируется в зависимости от нормативных требований, но обычно они включают не только основы, такие как имена и адреса, но также медицинские данные, финансовые записи и кредитную информацию.

Законы США о конфиденциальности данных

В Соединенных Штатах на федеральном уровне полномочия по обеспечению соблюдения правил защиты данных и защиты конфиденциальности данных принадлежит Федеральной торговой комиссии США (FTC), которая имеет широкий уровень полномочий. Однако не существует федерального закона о конфиденциальности данных или центрального органа по защите данных, которому поручено обеспечивать соблюдение.Вместо этого большая часть регулирования находится на уровне штата, поэтому генеральные прокуроры штата играют ключевую роль в обеспечении соблюдения.

Эти нормативные акты на государственном уровне часто имеют частично совпадающие или несовместимые положения. Например, все 50 штатов США приняли законы об уведомлении об утечке данных, но существуют различия в определении личных данных и даже в том, что составляет нарушение данных. Точно так же по крайней мере 35 штатов и Пуэрто-Рико имеют отдельные законы об удалении данных. То же самое и с законами о конфиденциальности данных.В отсутствие федерального мандата по крайней мере 25 штатов решили активизировать свою деятельность. Известный Калифорнийский закон о защите прав потребителей (CCPA) создал волну по меньшей мере 9 аналогичных нормативных актов в Мэриленде, Неваде, Массачусетсе, Род-Айленде и других штатах.

Чтобы помочь вам понять свои обязательства, мы кратко изложили основные положения законов штата о конфиденциальности данных для Калифорнии, Нью-Йорка, Массачусетса и Миннесоты. Эти государства активно разрабатывают и вносят поправки в свое законодательство о конфиденциальности данных, и подробное описание сходств и различий в их подходах поможет пролить свет на сложность защиты конфиденциальности.

Закон Калифорнии о конфиденциальности потребителей

Официальное название: Закон о конфиденциальности потребителей Калифорнии (CCPA)

Дата вступления в силу : 1 января 2020 г.

Статус: Прошло

Закон Калифорнии о защите прав потребителей (CCPA) возник как инициатива голосования в ответ на растущую обеспокоенность общественности по поводу объема частных данных, которые цифровые и технологические компании в Кремниевой долине незаметно собирают и продают на протяжении десятилетий.CCPA включает в себя основные принципы требований к защите данных и конфиденциальности данных в Общем регламенте защиты данных (GDPR), широкомасштабном законе о защите конфиденциальности, принятом Европейским Союзом.

Положения: Этот закон Калифорнии регулирует сбор, продажу и раскрытие личной информации жителей Калифорнии. CCPA распространяется на деятельность предприятий, поставщиков услуг, обслуживающих предприятия, и третьих лиц (которые могут быть отдельными лицами или организациями).Одно из ключевых положений закона заключается в том, что предприятия должны оперативно отвечать на запросы потребителей Калифорнии относительно того, какие персональные данные о них собираются и продаются ли они или раскрываются. Закон не допускает дискриминации потребителей, которые реализуют свои права; потребителям должно быть предоставлено такое же качество обслуживания, даже если они возражают против определенного действия, такого как продажа своих данных. Поставщики услуг могут использовать данные потребителей только по направлению бизнеса, который они обслуживают, и должны удалить личную информацию потребителя из своих записей по запросу.

Область действия: CCPA применяется ко всем коммерческим предприятиям, работающим в Калифорнии, которые удовлетворяют определенным условиям, например порогу дохода. Он имеет экстерриториальный эффект, поскольку распространяется на предприятия, не относящиеся к Калифорнии, которые работают в Калифорнии.

Прочие важные факты :

• Определенные конфиденциальные данные освобождены от требований CCPA, в том числе защищенная медицинская информация (PHI), уже охваченная Законом о переносимости и подотчетности медицинского страхования (HIPAA), медицинская информация, уже подпадающая под действие Закона Калифорнии о конфиденциальности медицинской информации, и некоторая информация, охватываемая Закон Грэмма-Лича-Блайли (GLBA).
• В настоящее время закон требует, чтобы компании расширяли права, предоставляемые CCPA, своим сотрудникам. Однако на рассмотрении находится законопроект, который внесет поправки в этот закон, чтобы исключить сотрудников из определения «потребителя».
• Когда компания получает запрос о собранной и хранимой информации о человеке, она должна проверить, действительно ли лицо, отправляющее запрос, является тем, кем они себя называют, прежде чем отвечать.

Штрафы за нарушения: Закон дает компаниям 30 дней на «исправление» нарушений.Неспособность устранить нарушение влечет за собой гражданский штраф в размере до 7500 долларов США за каждое умышленное нарушение и 2500 долларов США за каждое непреднамеренное нарушение.

Закон штата Нью-Йорк о конфиденциальности данных

Официальное название. Закон штата Нью-Йорк о конфиденциальности потребителей (NYPA)

Дата вступления в силу: 180 дней после вступления в силу

Статус: На рассмотрении в сенате штата

Положения: NYPA очень похоже на CCPA: оно дает людям возможность узнать, какие данные о них собраны бизнесом и с кем они ими поделились, запросить у компании исправление или удаление данных и отказ того, что их данные будут переданы третьим лицам или проданы им.NYPA дополнит существующий в Нью-Йорке закон об уведомлении об утечке данных, расширив защиту личной информации.

Область действия: NYPA применяется к «юридическим лицам, которые ведут бизнес в Нью-Йорке» или которые «преднамеренно нацелены» на жителей Нью-Йорка с их продуктами или услугами, что дает закон экстерриториального применения. Закон применяется к предприятиям любого размера, не ограничивается коммерческими предприятиями и не включает порог дохода, как CCPA.

Прочие важные факты :

• NYPA — единственный закон США о конфиденциальности данных, который налагает фидуциарные обязанности на любое юридическое лицо, которое собирает, продает или лицензирует личные данные. Закон определяет эти обязанности широко; предприятия должны защищать личные данные потребителей от любого риска и любым способом, который затрагивает потребителей. Важным моментом является то, что фидуциарная ответственность данных заменяет «любые обязательства перед собственниками или акционерами».
• Предлагаемое постановление сильнее законов других штатов в том, что оно требует от предприятий ставить конфиденциальность своих клиентов выше собственной прибыли.В этом законе о конфиденциальности содержится очень противоречивая линия, в которой говорится, что организации должны «действовать в лучших интересах потребителя». Однако он не объясняет, что компании на самом деле должны понимать в интересах жителей Нью-Йорка и других клиентов.
• Еще одно широко обсуждаемое положение закона Нью-Йорка о конфиденциальности — «частное право на иск». Закон предоставит потребителям право подавать в суд непосредственно на компании в связи с нарушением конфиденциальности, вместо того, чтобы оставлять исполнение на усмотрение Федеральной торговой комиссии или генеральных прокуроров штата.
• Другой закон, недавно принятый в Нью-Йорке, Закон о прекращении взломов и улучшении безопасности электронных данных (SHIELD), может повлиять на NYPA, потому что Закон SHIELD обновляет требования Нью-Йорка к уведомлению о нарушениях и обязательства по защите данных потребителей, а также расширяет штат Надзор Генерального прокурора в отношении утечки данных, затрагивающей жителей Нью-Йорка.

Штрафы за нарушения: NYPA не устанавливает размер штрафов, оставляя решение на усмотрение суда.Суд рассмотрит количество пострадавших лиц, серьезность нарушения, а также размер и доходы застрахованного лица.

Закон штата Массачусетс о конфиденциальности данных

Официальное название: Стандарты защиты личной информации жителей Содружества (201 CMR 17.00)

Регулирующий орган: Управление по делам потребителей и бизнес-регулированию

Дата вступления в силу : 1 марта 2010 г.

Статус: Принят в действие

Положения: Этот закон о защите данных содержит требования по защите жителей Массачусетса от кражи личных данных и мошенничества.

Объем: Любая организация, которая лицензирует, хранит или поддерживает личные данные о жителях Массачусетса, обязана внедрить комплексную программу информационной безопасности.

Прочие важные факты:

• Закон требует от компаний иметь специального человека для выполнения программы защиты данных и постоянного обучения сотрудников.
• Закон также требует, чтобы бизнес предпринимал «разумные шаги» для проверки того, что сторонние поставщики услуг, имеющие доступ к личной информации, имеют возможность защитить эту информацию.
• Закон защищает безопасность и конфиденциальность как потребителей, так и сотрудников. Личная информация включает имя, фамилию, номер социального страхования, номер водительских прав, номер выданной штатом идентификационной карты, номер финансового счета, номер кредитной или дебетовой карты и любой доступ код, позволяющий разрешить доступ к финансовой информации человека. Однако он исключает информацию, полученную из общедоступных источников.
• Massachusetts также работает над регулированием конфиденциальности данных, аналогичным CCPA.В случае принятия SD.341 «Закон о конфиденциальности данных потребителей» должен вступить в силу 1 января 2023 года.

Штрафы за нарушения: Каждое умышленное нарушение закона может повлечь за собой гражданский штраф в размере до 5000 долларов США плюс «разумные расходы на расследование и судебное разбирательство такого нарушения, включая разумные гонорары адвокатам».

Закон Миннесоты о конфиденциальности данных

Официальное название: Закон штата Миннесота о практике обработки данных (Minn. Stat.Статья 13)

Дата вступления в силу : 1979

Статус: Принят в действие

Положения: Один из законодательных актов Миннесоты, Закон штата Миннесота о практике обработки данных (MGDPA), защищает право людей на доступ к правительственным данным и контролирует сбор, хранение, использование и распространение частных данных. Регламент устанавливает систему классификации. Каждый тип данных, обрабатываемых государственным или правительственным учреждением, например данные об образовании и данные правоохранительных органов, подразделяется на категории: данные о физических лицах помечаются как общедоступные или закрытые, в то время как данные, не относящиеся к отдельным лицам, помечаются как закрытые или защищенные закрытые

Сфера действия: Закон применяется к любому правительственному учреждению Миннесоты.

Прочие важные факты:

• Закон требует, чтобы каждое государственное агентство назначило «ответственный орган», который установит процедуры для обеспечения того, чтобы запросы на данные были «получены и выполнены надлежащим и незамедлительным образом». Если государственное учреждение хочет собрать личные или конфиденциальные данные физического лица, оно должно направить этому лицу уведомление о конфиденциальности, которое называется «Предупреждение Теннессена».
• В случае спора между государственным учреждением и лицом относительно практики обработки данных, это лицо может запросить консультативное заключение.Законодательное собрание делегирует полномочия давать консультативные заключения Административному комиссару.

Штрафы за нарушения: Устранение нарушений может включать гражданский иск за умышленное нарушение или гонорары адвоката, если государственное учреждение не выполняет консультативное заключение. За умышленные нарушения суд также может наложить уголовное наказание на государственных служащих, временно отстранить их от должности или уволить.

Заключение

Число положений о конфиденциальности данных на уровне штата растет, и в существующие законы вносятся поправки, учитывающие постоянно меняющийся ландшафт кибербезопасности.Формулировки и определения в этих законах обеспечивают основу для разработки всеобъемлющего федерального закона о конфиденциальности данных. Между тем, предприятиям необходимо быть в курсе законов штата, потому что они могут иметь экстерриториальное применение и серьезные штрафы за нарушение нормативных требований.

F.A.Q.

Какие законы США предъявляют требования к защите конфиденциальности данных?

В отсутствие всеобъемлющего федерального законодательства, регулирующего конфиденциальность данных, U.S. регулируется отраслевыми и государственными законами, которые регулируют обмен отдельными типами персональных данных. Эти законы включают:

• Закон о конфиденциальности 1974 года — Защищает личную информацию, хранящуюся федеральными агентствами
• Закон о переносимости и подотчетности медицинского страхования (HIPAA) / Закон о медицинских информационных технологиях для экономического и клинического здравоохранения (HITECH) — Защищает личную медицинскую информацию (PHI)
• Закон Грамма – Лича – Блайли (GLBA) — Защищает финансовую информацию
• Закон о защите конфиденциальности детей в Интернете (COPPA) — Защищает конфиденциальность детей
• Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) — защищает личную информацию учащихся
• Закон о справедливой кредитной отчетности (FCRA) — регулирует сбор и использование информации о потребителях.
• Закон Калифорнии о конфиденциальности потребителей (CCPA) — Защищает права на конфиденциальность жителей Калифорнии.
• Закон New York SHIELD — Защищает личную и частную информацию жителей штата Нью-Йорк

Какие типы данных покрывает U.S. законы о конфиденциальности?

Следующие типы информации считаются конфиденциальными по законам США:

• Личная информация (PII) — информация, которая может быть использована для идентификации, установления контакта или определения местонахождения человека или отличия одного человека от другого, например, имя, адрес и номер социального страхования
• Личная медицинская информация (PHI) — информация о состоянии здоровья, истории болезни, страховой информации и другие личные данные, которые собираются поставщиками медицинских услуг и могут быть связаны с определенным лицом
• Личная финансовая информация (PIFI) — номера кредитных карт, реквизиты банковского счета или другие данные, касающиеся финансов человека
• Студенческие записи — индивидуальные оценки, стенограммы, расписание занятий, платежные реквизиты и другие образовательные документы

Что защищает Закон о конфиденциальности 1974 года?

Закон о конфиденциальности 9174 регулирует порядок обращения с записями федерального правительства, относящимися к отдельным лицам, федеральными агентствами.Закон требует, чтобы федеральные агентства соблюдали различные строгие требования к ведению документации. Это позволяет людям получать доступ к записям о себе, узнавать, были ли эти записи раскрыты, и запрашивать исправления или дополнения к этим записям, если только записи не освобождены от ответственности по закону.

В скольких штатах США действуют законы о конфиденциальности данных?

Практически в каждом штате США действуют собственные законы о безопасном обращении с конфиденциальными данными, такими как медицинские, финансовые или образовательные документы.Во всех 50 штатах США действуют законы об уведомлении об утечке данных, по крайней мере в 35 штатах и ​​в Пуэрто-Рико действуют отдельные законы об удалении данных, и как минимум в 25 штатах действуют собственные законы о конфиденциальности данных. С 2018 года в трех штатах были приняты всеобъемлющие законы о конфиденциальности: Калифорния (Закон о конфиденциальности потребителей Калифорнии от 2018 года), Невада (законопроект Сената 220, поправка к существующему в штате статут о политике конфиденциальности в Интернете) и Мэн (Закон о защите конфиденциальности в Интернете). Информация для потребителей).

Do U.S. применяются ли федеральные законы и законы штата о конфиденциальности к иностранным компаниям?

Это зависит от ряда факторов, включая влияние на людей, влияние на торговлю в США и наличие у компании дочерней компании в США. Иностранные компании могут подпадать под действие законов США, если они собирают, обрабатывают или передают личную информацию Жители США. Например, если иностранная компания ведет бизнес в Калифорнии и собирает личную информацию жителей Калифорнии, в то время как потребители находятся в Калифорнии, она подпадает под действие закона CCPA.

Чем законы о конфиденциальности в США отличаются от GDPR ЕС?

GDPR защищает одно из основных прав на неприкосновенность частной жизни: право быть забытым, то есть право требовать удаления личной информации из документации организации. Это право часто считается несовместимым с американским правом на свободу слова, закрепленным в Первой поправке к Биллю о правах, поскольку принуждение к исключению информации из списка может рассматриваться как сужение этой свободы и создание риска цензуры.Тем не менее, несколько законов в США действительно предлагают в той или иной форме право на забвение. Например, COPPA позволяет родителям просматривать и удалять информацию о своих детях, а CCPA позволяет жителям Калифорнии запрашивать удаление своих записей с некоторыми ограничениями.

Эксперт по продукту в Netwrix Corporation, писатель и докладчик. Райан специализируется на пропаганде кибербезопасности и пропаганде важности прозрачности изменений в ИТ и доступа к данным.Как автор, Райан уделяет внимание тенденциям в области ИТ-безопасности, исследованиям и отраслевым исследованиям.

5 фактов о конфиденциальности данных, которые необходимо знать — Data Privacy Manager

Что такое конфиденциальность данных?

Конфиденциальность данных или Конфиденциальность информации — это часть области защиты данных , которая касается надлежащей обработки данных с упором на соблюдение правил защиты данных .

Конфиденциальность данных сосредоточена вокруг порядка сбора, хранения, управления и передачи данных третьим сторонам, а также соблюдения применимых законов о конфиденциальности (например, Закона Калифорнии о конфиденциальности потребителей — CCPA или Общего регламента по защите данных GDPR. )

Наряду с безопасностью данных, конфиденциальность данных создает область защиты данных с защищенными полезными данными в качестве выходных данных.

Однако конфиденциальность данных — это не только надлежащей обработки данных , но и ожидания общественности в отношении конфиденциальности, при этом сосредоточен вокруг человека как ключевой фигуры.

Законы о защите данных во всем мире направлены на то, чтобы вернуть людям контроль над данными, дав им возможность узнать, как их данные используются, кем и почему, давая им контроль над тем, как их личные данные обрабатываются и используются.

В 2019 году 73% клиентов заявили, что доверие к компаниям имеет большее значение, чем год назад, и мы можем просто предположить, что эти цифры выросли. Прочтите 100 статистических данных о конфиденциальности и безопасности данных, чтобы получить больше информации.

Вот почему организациям необходимо научиться обрабатывать персональные данные, защищая при этом личные предпочтения в отношении конфиденциальности. Это то, что люди ожидают от организаций . Это их видение конфиденциальности.

Элементы конфиденциальности данных

Конфиденциальность данных или Конфиденциальность информации включает 3 элемента:

• Право физического лица быть оставленным в покое и контролировать свои личные данные
• Процедуры надлежащего обращения, обработки, сбора и передачи персональных данных
• Соблюдение законов о защите данных

Почему важна конфиденциальность данных?

Важность конфиденциальности данных еще больше возросла с введением Общего регламента по защите данных.

Согласно прогнозам Gartner относительно будущего конфиденциальности, конфиденциальность сегодня — это то же самое, что « органических » или « без жестокости » за последнее десятилетие.

С точки зрения бизнеса, защита личных данных и уделение особого внимания конфиденциальности данных могут иметь множество положительных последствий для организации.

От удовлетворения ожиданий клиентов к достижению конкурентных преимуществ в виде более высокого качества данных, улучшения качества обслуживания клиентов, а также большей привлекательности для инвесторов и повышения бренда.

Существуют ли какие-либо юридические определения конфиденциальности данных?

Хотя GDPR не был первым законом о конфиденциальности, это был наиболее полный и новаторский закон о защите данных, который отразил новую цифровую эру в том, как данные создаются и управляются в современных повседневных бизнес-процессах.

Тем не менее, GDPR и другие законопроекты о защите данных, такие как Закон США о переносимости и подотчетности медицинского страхования (HIPAA), Закон о конфиденциальности потребителей Калифорнии ( CCPA ) или Закон о защите конфиденциальности детей в Интернете ( COPPA ), дали правильное определение понятию что такое конфиденциальность данных.

1. Конфиденциальность данных — это не то же самое, что безопасность данных

.

Для надлежащей защиты данных и соблюдения законов о защите данных вам необходимы Data Privacy и Data Security . И хотя эти два термина могут выглядеть похожими, их различия станут более ясными, если вы начнете разбирать их.

Определение конфиденциальности данных

Конфиденциальность данных фокусируется на правах физических лиц , целях сбора и обработки данных, настройках конфиденциальности и способах управления персональными данными субъектов данных организациями.

Основное внимание уделяется тому, как собирать, обрабатывать, совместно использовать, архивировать и удалять данные в соответствии с законом.

Определение безопасности данных

Безопасность данных включает в себя набор стандартов и различных мер безопасности и мер, которые организация принимает в порядке для предотвращения несанкционированного доступа третьей стороной к цифровым данным или любого намеренного или непреднамеренного изменения, удаления или раскрытия данных .

Он фокусируется на защите данных от злонамеренных атак и предотвращает использование украденных данных (утечка данных или кибератаки).Он включает в себя контроль доступа, шифрование, сетевую безопасность и т. Д.

Что важнее для вашей организации?

Представьте, что ваша компания внедряет сложные методы защиты данных, используя все необходимые средства и доступные меры для защиты данных, но не смогла собрать эти данные на действительной законной основе.

Независимо от мер защиты ваших данных, это будет нарушением конфиденциальности данных.

Этот пример показывает нам, что безопасность данных может существовать без конфиденциальности данных, но не наоборот.

2. Важность прозрачности

В эпоху экономики данных настоящая ценность компании заключается в собранных данных о клиентах. Это означает, что данные — это актив, который стоит защищать и хранить.

Компании постоянно забывают, что персональные данные физических лиц, обрабатываемые компаниями, являются только заимствованными.

Законы

о конфиденциальности позволяют физическим лицам осуществлять свои права, например, право на забвение , и при определенных обстоятельствах человек могут вернуть себе право собственности на свои данные.

Чтобы компании могли хранить данные и сохранять доверие, они должны будут продемонстрировать прозрачность, открыто сообщая, какие данные они собирают, для каких целей, кто является обработчиком данных и т. Д.

Если вы хотите узнать больше о том, как утечка данных влияет на отношения с клиентами или как (повторно) связаться с клиентами и укрепить доверие [числа и исследования] , мы рекомендуем:

3. Право на конфиденциальность — оставить в покое

Почему конфиденциальность так важна? Тебе нечего скрывать, правда?

Что ж, конфиденциальность — это ваше право, чтобы вас оставили в покое, и хотя в данный момент это не может быть оспорено, ее все же следует защищать.

Вы должны иметь возможность реализовать свое право на неприкосновенность частной жизни, когда захотите и если захотите.

Это было признано правительствами во всем мире и привело к многочисленным законам о защите данных.

GDPR представляет собой самый новаторский и надежный нормативный акт о защите данных на сегодняшний день и предусматривает огромные штрафы для защиты частной жизни человека.

Это следует рассматривать как предупреждение всем организациям и компаниям, что нарушение прав GDPR может привести к огромным штрафам.

В период корректировки регулирующие органы были очень умеренными, предлагая штрафы GDPR , но тенденции показывают, что они начали готовить организации к более значительным штрафам.

4. Последствия несоблюдения

С развитием технологий появляется все больше навязчивых способов сбора и обработки личной информации.

Очень скоро для компаний станет невероятно рискованно проходить через законы о конфиденциальности данных неподготовленными.Компании будут подвергаться риску штрафов и судебных исков, не говоря уже о репутации компании и лояльности клиентов .

В 2019 году Facebook выделил от 3 до 5 миллиардов долларов для текущих расследований, касающихся множественных утечек данных и неправильного обращения с данными (при этом это не рекомендуемая практика).

Правильный подход заключается в принятии упреждающих шагов и мер, таких как внедрение соответствующих средств защиты данных или внедрение программного обеспечения для защиты данных, которое поможет вам управлять вашей программой обеспечения конфиденциальности и автоматизировать процессы.

Хотя изначально для этого могут потребоваться определенные вложения ресурсов и денег, потенциальная утечка данных может стоить вашей компании больше, чем вы думаете.

Согласно отчету Cost of a Data Breach Report 2020, проведенному Ponemon Institute, средняя общая стоимость утечки данных составляет 3,86 миллиона долларов США :

Это может быть веским аргументом в пользу того, чтобы организации срочно начали инвестировать в свои программы обеспечения конфиденциальности и соблюдения требований, поскольку они будут нести ответственность за последствия и затраты на нарушение.

5. В мире появляется все больше и больше правил конфиденциальности

GDPR — не первый закон о конфиденциальности, но многие законы о конфиденциальности данных до GDPR устарели, учитывая, что как технология , так и то, как мы общаемся и делимся своими данными, сильно изменили всего за несколько лет.

Общие правила защиты данных ознаменовали собой первое серьезное намерение контролировать чрезмерное использование личных данных и надлежащим образом наложить штраф как на обработчиков данных, так и на контроллеров данных.

Что наиболее важно, GDPR предоставил субъектам данных право восстановить контроль над своей конфиденциальностью.

После GDPR Конгресс США принял аналогичные законы, и вскоре за ними последуют другие. Подробнее об этом читайте в нашей статье

.

В ближайшие годы законы о защите данных будут постоянно развиваться, как и конфиденциальность данных.

Организации должны учитывать это при создании бизнес-планов, стратегии и маркетинговых мероприятий .Не только из-за штрафов, но и потому, что этого будут ожидать люди.

Согласование с законами о защите данных также дает множество преимуществ — от конкурентных преимуществ до цифровизации.

Доля организаций, заявляющих, что они получают значительные преимущества для бизнеса от конфиденциальности, выросла с 40% в 2019 году до более 70% в 2020 году. Выгоды варьируются от операционной эффективности , гибкости , инноваций , привлекательности для инвесторов , и стоимость бренда .

Мировые тенденции в области конфиденциальности данных

Длинный список инициатив в области законодательства о конфиденциальности данных указывает на ускоряющиеся изменения в том, как компании и частные лица признают ценность и важность защиты пользовательских данных .

Процветающие компании уже начали формировать свои будущие стратегии конфиденциальности и защиты данных .

У большой четверки были свои собственные проблемы с позиционированием себя как заслуживающих доверия компаний .Однако у них есть одно общее. Они признали важность конфиденциальности данных.

Генеральный директор Apple, Тим Кук, неоднократно произносит страстные речи о инициативах по обеспечению конфиденциальности данных. провоцирует всеобъемлющий закон США о конфиденциальности данных, направленный на минимизацию сбора данных, безопасность данных и информирование пользователей.

Независимо от мотивов компаний, нельзя упускать из виду одну вещь: исследование IAPP показывает, что к 2022 году личная информация половина населения нашей планеты будет защищена местными правилами конфиденциальности в соответствии с GDPR.

Источник: DLA Piper «МИРОВЫЕ ЗАКОНЫ О ЗАЩИТЕ ДАННЫХ»

Компании должны будут иметь возможность продемонстрировать соответствие и показать прозрачность в способах обработки данных.

Как можно быстрее достичь целей в области соблюдения нормативных требований?

Мы обмениваемся данными больше, чем когда-либо, и так, как никогда раньше. Технология меняется, и для этого требуется решений по обеспечению конфиденциальности данных, которые должны следовать за этим изменением .

Законы

о защите данных предоставляют людям определенные права (право на переносимость данных, право на получение информации, право на исправление…), и компании обязаны выполнять эти права в установленные законом сроки (да, исключения всегда есть).

Проблема возникает из-за того, что большинство компаний не могут вовремя найти все данные или ответить на запросы субъектов данных.

Программное обеспечение для обеспечения конфиденциальности данных может помочь вам достичь и продемонстрировать соответствие путем автоматизации и введения в действие принципов конфиденциальности данных. Программа обеспечения конфиденциальности отслеживает установленные законом крайние сроки для каждого запроса субъекта данных и помогает вам лучше понять своих клиентов.

Объяснение 12 новых государственных законов о конфиденциальности и безопасности: Готов ли ваш бизнес?

В то время как на федеральном уровне законодательство о безопасности и конфиденциальности потеряно в трясине партийной политики и задержек корпоративного лоббирования, штаты продвигаются вперед, чтобы протолкнуть впечатляющее количество важных законопроектов, которые помогают заполнить пробелы.Поиск в базе данных Legiscan показывает, что сотни законопроектов, касающихся конфиденциальности, кибербезопасности и утечки данных, находятся на рассмотрении в 50 штатах, территориях и округе Колумбия.

Самым всеобъемлющим законодательным актом на уровне штата, охватывающим эти часто взаимосвязанные категории, который был принят за последние два года, является всеобъемлющий Закон Калифорнии о конфиденциальности потребителей (CCPA), принятый и подписанный 28 июня 2018 года. новаторский Общий регламент по защите конфиденциальности данных (GDPR) ЕС направлен на то, чтобы предоставить потребителям государства больший контроль над тем, как предприятия собирают и используют их личные данные.В ноябре 2020 года избиратели в Калифорнии одобрили Закон о правах на конфиденциальность в Калифорнии (CPRA), который создает новое агентство по защите конфиденциальности потребителей и более тесно согласовывает положения о конфиденциальности с GDPR.

CCPA должен вступить в силу 1 января 2020 года, что даст тем, кто считает, что закон был слишком широким или слишком узким, достаточно времени, чтобы ограничить или расширить его сферу действия. К настоящему времени в Калифорнийскую ассамблею были внесены два законопроекта для расширения сферы действия CCPA, а девять законопроектов направлены на ограничение его воздействия.

В нижеследующих разделах мы резюмируем текущие положения CCPA, а также другие основные законодательные акты штата, которые были недавно приняты и вступили в силу. Каждая из этих недавно принятых мер по-своему существенно влияет на конфиденциальность, безопасность данных, кибербезопасность или требования к уведомлению о взломе данных в соответствующих штатах.

Законы о конфиденциальности

• Закон штата Калифорния о конфиденциальности потребителей (CCPA)
• Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)
• Законопроект Сената Невады 220 Закон о конфиденциальности в Интернете
• Закон штата Мэн о защите конфиденциальности информации для потребителей в Интернете

Закон Калифорнии о защите прав потребителей (CCPA)

CCPA включил многие положения GDPR в то, что ранее было мерой голосования в штате под названием Закон о праве потребителей на неприкосновенность частной жизни от 2018 года.Положения законодательства «предоставляют потребителю право требовать от компании раскрытия категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых собирается эта информация, деловых целей для сбора или продажи информации. , а также категории третьих лиц, которым предоставляется информация ».

Закон применяется к компаниям, которые собирают информацию от жителей Калифорнии и соответствуют как минимум одному из следующих пороговых значений: (1) имеют более 25 миллионов долларов годового валового дохода; (2) покупать, получать, продавать или передавать в коммерческих целях личную информацию 50 000 или более потребителей, домашних хозяйств или устройств; или (3) получать 50 или более процентов своего дохода от продажи личной информации потребителей.

Среди наиболее примечательных из многих обширных положений закона есть разделы, которые:

• Требуют от компании раскрывать информацию о собираемой личной информации и целях, для которых она используется.
• Предоставьте потребителю право запросить удаление личной информации и потребовать от компании удалить эту информацию после получения подтвержденного запроса.
• Предоставить потребителю право потребовать, чтобы компания, которая продает личную информацию потребителя или раскрывает ее в деловых целях, раскрыла категории информации, которую он собирает, и категории информации, а также личность третьих лиц, которым эта информация была продана. или разглашается.Компании должны будут предоставить эту информацию в ответ на поддающиеся проверке запросы потребителей.
• Разрешить потребителю отказаться от продажи личной информации компанией и запретить бизнесу дискриминировать потребителя за осуществление этого права, в том числе путем взимания платы с потребителя, который выбирает другую цену, или предоставления потребителю товаров другого качества. или услуги, за исключением случаев, когда разница обоснованно связана со стоимостью, предоставленной данными потребителя.
• Требовать от компаний, раскрывающих личные данные, по запросу бесплатно доставлять эти данные проверяемым потребителям.
• Предоставьте потребителям право контролировать продажу своей информации третьим лицам с помощью ссылки «Не продавать мою личную информацию» в их политиках конфиденциальности.
• Дайте людям возможность указывать предприятиям на удаление их информации.
• Запретить компаниям продавать информацию о потребителях в возрасте от 13 до 16 лет без их явного согласия и потребовать от них получения согласия родителей перед продажей информации о потребителях младше 13 лет.
• Расширить определение личной информации, включив в нее такие вещи, как IP-адреса, идентификаторы устройств, идентификаторы файлов cookie и психографические профили, основанные на предпочтениях, характеристиках, поведении, интересах и многих других переменных клиентов.

Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)

Калифорнийские избиратели одобрили эту меру голосования в ноябре, в результате чего закон вступил в силу 1 января 2023 года, хотя с шестимесячным льготным периодом для вступления в силу. CPRA требует создания агентства по защите конфиденциальности потребителей, которое возьмет на себя ответственность за нарушения закона о конфиденциальности от генерального прокурора штата.

Наиболее значительными изменениями по сравнению с CCPA являются:

• Компании, обслуживающие менее 100 000 жителей или домашних хозяйств Калифорнии, не подпадают под действие положений о конфиденциальности. Порог CCPA составляет 50 000 и включает устройства.
• Компании должны удалить личную информацию, если она больше не нужна. То, как регулирующие органы будут определять «необходимый», открыто для интерпретации.
• Потребители могут заставить компанию исправить неточные личные данные.
• Компании должны гарантировать, что любые третьи стороны, с которыми они делятся личными данными, соблюдают CPRA.
• Потребители могут отказаться от предоставления компаниями своих данных. Согласно CCPA, потребители могут только отказаться от продажи своих данных.
• Ответственность за нарушение теперь включает раскрытие адресов электронной почты в сочетании с контрольными вопросами.
• Если нарушение касается личных данных несовершеннолетних, штраф может быть увеличен в три раза.
• Компании могут по-прежнему подпадать под действие частных прав на предъявление иска и возмещения установленного законом ущерба после нарушения, даже если они исправят причину нарушения.
• Потребителям больше не нужно показывать вред, чтобы иметь возможность предъявить иск за нарушение.

Законопроект Сената штата Невада 220 Закон о конфиденциальности в Интернете

В то время как Калифорнийский CCPA получил все заголовки, Невада тихо приняла свой собственный более жесткий закон о конфиденциальности в Интернете, Законопроект 220 Сената, который был подписан губернатором 30 мая 2019 года. В закон были внесены поправки. Существующий закон Невады о конфиденциальности требует, чтобы компании предлагали потребителям отказ от продажи их личной информации, за некоторыми исключениями. Законопроект вступает в силу 1 октября 2019 года до даты вступления в силу CCPA, что делает законодательство штата Невада первым в США.S. предоставить потребителям право отказаться от продажи своих личных данных.

В отличие от CCPA и GDPR, законопроект Невады не добавляет никаких новых требований к уведомлениям для операторов веб-сайтов, но требует от них публиковать определенные элементы информации в своих политиках конфиденциальности, включая категории собираемой информации, категории третьих лиц, с которыми эти данные является общим, описание процесса, который потребители могут использовать для просмотра и запроса изменений в покрываемой ими информации, раскрытие того, что третьи стороны могут отслеживать онлайн-действия потребителей, и дату вступления в силу этих уведомлений.

Организации, нарушающие эти условия, могут быть подвергнуты штрафу до 5000 долларов за нарушение, а также временному или постоянному судебному запрету. Согласно закону, генеральная прокуратура будет иметь право возбуждать иски о нарушениях, но должна предоставить правонарушителям 30-дневный период для исправления нарушений, кроме тех, которые касаются права отказа.

Закон штата Мэн о защите конфиденциальности информации о потребителях в Интернете

7 июня 2019 года губернатор штата Мэн Джанет Миллс подписала закон о защите конфиденциальности информации о потребителях в Интернете.Законопроект вступает в силу 1 июля 2020 года. Закон прямо запрещает поставщикам широкополосного доступа в Интернет «использовать, раскрывать, продавать или разрешать доступ к личной информации клиентов, если только клиент не дает явного согласия на такое использование, раскрытие, продажу или доступ» с некоторые исключения.

Законопроект также запрещает провайдерам широкополосного доступа отказываться от обслуживания клиентов или взимать с них дополнительную плату, если они не дают согласия на использование, раскрытие, продажу или доступ к своим личным данным.

Законопроект также требует, чтобы провайдеры принимали разумные меры для защиты личной информации клиентов от несанкционированного использования, раскрытия, продажи или доступа. Согласно законопроекту, личная информация определяется как (а) «личная информация о клиенте» о клиенте и (б) информация, полученная в результате использования клиентом услуг широкополосного доступа в Интернет, таких как история просмотра веб-страниц, данные геолокации, идентификаторы устройств и номер других точек технических данных, которые могут использоваться для идентификации людей.

Законы о кибербезопасности, защите данных и уведомлении о взломе данных

• Департамент финансовых услуг штата Нью-Йорк, Требования кибербезопасности для компаний, предоставляющих финансовые услуги (23 NYCRR 500)
• Закон штата Нью-Йорк «Остановить взломы и повысить безопасность электронных данных» (SHIELD)
• Закон штата Массачусетс H.4806 — Закон о защите потребителей от нарушений безопасности
• Нью-Джерси — АКТ о раскрытии нарушений безопасности и внесении поправок в P.L.2005, c.226 (S. 51)
• Закон штата Мэриленд о защите личной информации — Требования к уведомлению о нарушениях безопасности — Изменения (Законопроект 1154)
• Закон штата Орегон о защите информации потребителей (OCIPA) SB 684
• Техас — Закон о конфиденциальности личной информации и создание Консультативного совета по защите конфиденциальности Техаса
• Вашингтон — Закон о нарушении систем безопасности, защищающих личную информацию (SHB 1071)

Департамент финансовых услуг штата Нью-Йорк, Требования к кибербезопасности для компаний, предоставляющих финансовые услуги (23 NYCRR 500)

Регулирующие органы Департамента финансовых услуг Нью-Йорка (DFS) 16 февраля 2017 года приняли новые правила 23 NYCRR 500, которые определенные минимальные требования к кибербезопасности для всех финансируемых финансовых учрежденийЭти правила требуют, чтобы каждая компания оценила свой конкретный профиль рисков и разработала программу, направленную на надежное устранение рисков.

Крайним сроком для некоторых необходимых регулирующих действий в соответствии с новыми правилами был март 2019 года. Согласно требованиям, любая регулируемая DFS организация, отвечающая определенным критериям (более 10 сотрудников, более 5 миллионов долларов США в год и превышение активов на конец года 10 миллионов долларов), которая ведет бизнес в Нью-Йорке, требуется для создания внутренней программы кибербезопасности для защиты информационных активов, находящихся под их контролем.

Более мелкие организации должны выполнять другие обязательства, в том числе ограничивать доступ к информации, оценивать свои риски, внедрять политики, связанные с контролем данных третьих сторон, и их собственное размещение данных. Все регулируемые организации обязаны сообщать об утечках данных, независимо от размера.

Кроме того, правила требуют от субъектов, на которые распространяется действие страховки, назначать главного сотрудника по информационной безопасности и вести контрольный журнал среди множества других передовых методов кибербезопасности, изложенных в регламенте.

Закон штата Нью-Йорк «О прекращении взломов и повышении безопасности электронных данных» (SHIELD)

25 июля 2019 года губернатор Нью-Йорка Эндрю Куомо подписал Закон «О прекращении взломов и улучшении безопасности электронных данных» (законопроект Сената S5575B ), который расширяется. действующий закон штата о взломе данных и налагает на застрахованные организации позитивные обязательства по обеспечению кибербезопасности.

Среди прочего, счет:

• Расширяет объем информации, подпадающей под действие действующего закона об уведомлении об утечке данных, за счет включения биометрической информации, адресов электронной почты и соответствующих им паролей или секретных вопросов и ответов.
• Расширяет определение утечки данных, включая несанкционированный доступ к частной информации.
• Применяет требование об уведомлении к любому физическому или юридическому лицу с частной информацией о жителе Нью-Йорка, а не только к тем, кто ведет бизнес в штате Нью-Йорк.