Закон персональные данные что к ним относится: Персональные данные в 13 вопросах и ответах – Общество – Коммерсантъ

Содержание

Персональные данные в облаке, часть 1 — «ИТ-ГРАД»

Что такое персональные данные (ПДн) и как этот термин трактуется с позиции российского законодательства? В этой статье мы уделили внимание тонкостям определений и подготовили развернутый пост-ответ, который поможет во многом разобраться.

Что такое ПДн

Почему так важно определиться с понятиями? Дело в том, что, если этого не сделать сейчас, в дальнейшем будет трудно о чем-либо договариваться. Важно понимать, что относится к персональным данным и что необходимо защищать при размещении их в облаке.

Итак, законодательство РФ понимает под персональными данными (ПДн) «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных».

Обратите внимание, что это определение довольно широкое и здесь не сказано про идентификацию конкретного лица. Хотя на портале персональных данных, официальном сайте Роскомнадзора, вопрос подобного характера уже задавался и звучал так: каков минимальный набор персональных данных, достаточный для идентификации человека? На что Роскомнадзор ответил:

«Указанный минимальный перечень действующим законодательством не установлен. Более того, по результатам мониторинга законодательства, проведенного Роскомнадзором, было установлено, что 75 международных правовых актов, 13 кодексов РФ, более 100 федеральных законов и 250 актов Правительства Российской Федерации устанавливают различные перечни запрашиваемых персональных данных».

На этом также сделан акцент в научно-практическом комментарии к закону «О персональных данных». В документе поясняется, что «при буквальном трактовании рассматриваемой нормы к понятию «персональные данные» можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте».

То есть здесь нет указания на связь между информацией, прямой или косвенной определенностью или «определяемостью» физического лица. Отсюда напрашивается вывод, что на сегодняшний день отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные относятся к персональным, а в каких — нет.

Как быть, если отсутствует однозначность определений

В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:

Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.

Для лучшего понимания ситуации рассмотрим пример:

Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.

Зачем Роскомнадзор вводит понятие "идентификатора"

И снова обратимся к научно-практическому комментарию Роскомнадзора: здесь вводится понятие идентификатора, или тех сведений, которые позволяют однозначно определить физическое лицо

. Такой идентификатор присваивается каждому гражданину, носит название государственного идентификатора и представлен следующим списком:

  • Номер и серия паспорта.
  • Страховой номер индивидуального лицевого счета (СНИЛС).
  • Идентификационный номер налогоплательщика (ИНН).
  • Биометрические данные.
  • Банковский счет, номер банковской карты.

Кроме того, Роскомнадзор выделяет в отдельную категорию данные, которые рассматриваются как персональные, несмотря на то что в их отношении остается некоторый аспект вероятностного совпадения. К ним относятся:

  • Фамилия, имя, отчество, дата рождения, место прописки.
  • Фамилия, имя, отчество, дата рождения, должность.
  • Фамилия, имя, отчество (возможно — фамилия и инициалы) плюс любая информация, которая однозначно выделяет среди прочих лиц для идентификации его как конкретной личности.

При этом фамилия, имя, отчество, адрес проживания, электронный адрес, номер телефона, дата рождения не могут в отдельности друг от друга рассматриваться как персональные данные. Хотя в этом вопросе происходят определенные трансформации

: в одном из интервью Роскомнадзора говорилось, что фамилия с электронным адресом (а иногда и электронный адрес) могут рассматриваться как персональные данные, если корпоративные правила компании предусматривают формирование электронной почты в виде сочетания полного имени, фамилии сотрудника и названия компании (например, [email protected]). Такие данные с большой вероятностью позволяют определить конкретного человека. Следовательно, персональные данные считаются таковыми, когда имеются какие-либо признаки или идентификаторы, позволяющие установить конкретное лицо, к которому они относятся.

Файлы cookie и персональные данные

Также важно заметить, что за последние два года в отношении файлов cookie и следов, которые пользователь оставляет в Интернете, позиция Роскомнадзора радикально изменилась. На это стоит обратить внимание, поскольку появилась новая зона риска. Теперь, по мнению регулятора, если используются файлы cookie и они передаются аналитическим службам типа Google Analytics, Webtrends, Яндекс.Метрика, эти данные в совокупности после их обработки позволяют определить уникального пользователя сайта, сформировать сведения о его предпочтениях и поведении на сайте, что говорит об обработке персональных данных. Следовательно, необходимо получить согласие пользователя на обработку таких ПДн.

Теперь обратим внимание на то, что Google Analytics и Webtrends работают из американского облака, а США — это страна, не обеспечивающая адекватную защиту прав субъектов персональных данных, а значит, используя такие инструменты, нужно получить согласие в письменной форме или в форме электронного документа, подписанного в соответствии с законодательством.

Решение проблемы

Напрашивается единственный выход: если на сайте используются файлы cookie, необходимо предусмотреть пользовательское соглашение или баннер, который позволяет подтвердить, что пользователь, пусть даже анонимный, согласен с обработкой ПДн.

Пользователь должен поставить галочку в соответствующей форме, выражая тем самым согласие. В таком случае необходимо сделать раздел в отношении обработки следов в Интернете или сформировать отдельную политику в отношении файлов cookie. Чтобы понимать, какие данные, содержащие файлы cookie, относятся к персональным данным гражданина по мнению Роскомнадзора, приведем выписку:

  • Операционная система.
  • Часовой пояс и время браузера в 24-часовом формате.
  • Язык браузера.
  • Глубина цвета и разрешение экрана.
  • Поддерживает ли браузер и/или включен JavaScript.
  • Версия JavaScript, поддерживаемая браузером.
  • Тип соединения, используемый для передачи данных.
  • Размер окна браузера.

Новый европейский регламент GDPR

Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее. В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.

Остались вопросы?

Проходите по ссылке на запись вебинара «Облако в соответствии с законом «О персональных данных» и следите за новыми материалами первого блога о корпоративном IaaS. В следующих статьях мы расскажем о принципах и условиях обработки ПДн с точки зрения российского законодательства, поговорим о видах согласия со стороны субъекта ПДн и уделим внимание зонам ответственности заказчика и облачного провайдера при размещении персональных данных в облаке.

для тех, кому нужно быстро разобраться

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

Что относится к персональным данным работника

]]>

Подборка наиболее важных документов по запросу Что относится к персональным данным работника (нормативно–правовые акты, формы, статьи, консультации экспертов и многое другое).

Судебная практика: Что относится к персональным данным работника Открыть документ в вашей системе КонсультантПлюс:
Подборка судебных решений за 2019 год: Статья 6 "Полномочия адвоката" Федерального закона "Об адвокатской деятельности и адвокатуре в Российской Федерации"
(ООО юридическая фирма "ЮРИНФОРМ ВМ")Суд отказал в удовлетворении требований истца об отмене актов о привлечении к административной ответственности, согласившись с мнением нижестоящего суда о том, что запрашиваемая адвокатом информация о месте работы и звании субъектов относится к персональным данным; согласие субъектов персональных данных на обработку, в частности распространение, своих персональных данных не представлено. Имеющие специальные звания сотрудники органов внутренних дел за административные правонарушения, предусмотренные ст. 5.39 КоАП РФ, не несут административную ответственность на общих основаниях. При таких обстоятельствах заместитель прокурора субъекта РФ обоснованно вынес определение об отказе в возбуждении дела об административном правонарушении в отношении должностных лиц Министерства внутренних дел РФ по субъекту РФ (ч. 3 ст. 6 Федерального закона от 31 мая 2002 года N 63-ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации").

Статьи, комментарии, ответы на вопросы: Что относится к персональным данным работника Путеводитель по кадровым вопросам. УвольнениеСогласно п. 43 Постановления ВС РФ от 17.03.2004 N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации" при оспаривании работником увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан представить доказательства того, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, что эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался их не разглашать. Так, Московский областной суд в Определении от 16.09.2010 по делу N 33-18051 указал, что, поскольку в обоснование своей позиции работодатель представил доказательства разглашения работником охраняемой законом тайны, дисциплинарное взыскание в виде увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ к последнему применено правомерно.

Нормативные акты: Что относится к персональным данным работника

как с ними работать — СКБ Контур

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. 

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.  

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников? 

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата. 

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. 

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Обработка персональных данных

Политика ООО «Автопарк-М» в отношении обработки персональных данных (выдержки)

В ООО «Автопарк-М» обеспечивается законность обработки персональных данных и обеспечение их безопасности.

1. Назначение документа

Настоящая политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные положения по обработке персональных данных, принятые в ООО «Автопарк-М» (далее — TMР) Положение о персональных данных.

2. Используемые термины и сокращения

ТМР — ООО «Автопарк-М». 

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 

Субъект персональных данных — физическое лицо, к которому относится информация, содержащая персональные данные. 

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. 

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. 

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 

Машинный носитель информации (машинный носитель персональных данных) — материальный носитель, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами. 

Средства вычислительной техники — совокупность математических и технических средств, методов и приемов, которые используются для облегчения и ускорения решения трудоемких задач, связанных с обработкой информации. Средства вычислительной техники полностью или частично автоматизируют вычислительный процесс. 

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели Политики

• Регламентация принципов и основных требований к обработке персональных данных в ТМР; 
• Приведение процессов обработки персональных данных в ТМР в соответствие требованиям законодательства Российской Федерации; 
• Обеспечение доступа субъектов персональных данных к информации, касающейся обработки их персональных данных в ТМР.

4. Описание процесса

6.1 Общие положения 

ТМР осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ТМР организует обработку персональных данных в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) и других нормативно-правовых актов Российской Федерации. ТМР обеспечивает неограниченный доступ к настоящей Политике 

6.2 Принципы обработки персональных данных 

ТМР принимает и обеспечивает выполнение следующих принципов обработки персональных данных: 

• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 

• Обработке подлежат только персональные данные, которые отвечают целям их обработки. 

• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 

• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ТМР принимаются необходимые меры по удалению или уточнению неполных или неточных данных. 

• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

• ТМР, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 

6.3 Условия и цели обработки персональных данных 

6.3.1. Состав персональных данных 

В ТМР определен перечень обрабатываемых персональных данных, цели и условия обработки персональных данных. Настоящие положения зафиксированы в документе «Перечень персональных данных», принятом в ТМР. 

6.3.2. Основания для обработки персональных данных 

Обработка персональных данных в ТМР производится в следующих случаях: 

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ТМР функций, полномочий и обязанностей; 

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 

• обработка персональных данных необходима для осуществления прав и законных интересов ТМР или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 

• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации. 

6.4 Общее описание обработки персональных данных 

При обработке персональных данных ТМР совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ТМР в соответствии с трудовым законодательством Российской Федерации. 

Обработка сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), осуществляется для некоторых категорий субъектов персональных данных исключительно на основании согласия на обработку персональных данных в письменной форме. 

Для отдельных категорий персональных данных, обрабатываемых в ТМР, допускается трансграничная передача в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства с согласия субъекта ПДн в письменной форме1. При этом ТМР выполняет требования к такой передаче, определенные законодательством Российской Федерации. В ТМР не осуществляется принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. 

6.5 Сроки хранения и требования к уничтожению персональных данных 

Сроки хранения персональных данных в ТМР определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ТМР. Персональные данные, обрабатываемые в ТМР, подлежат уничтожению в следующих случаях: 

• при достижении целей обработки или в случае утраты необходимости в их достижении; 

• при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; 

• при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных; 

• по истечении определенных сроков хранения персональных данных. 

6.6 Меры в области обработки и защиты персональных данных 

ТМР организует выполнение следующих мер, направленных на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных: 

• назначение работников, ответственных: 

   a. за организацию обработки персональных данных; 

   b. за обеспечение безопасности персональных данных в информационных системах персональных данных. 

• издание и внедрение локальных актов ТМР по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно: 

   c. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 

   d. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 

   e. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных; 

   f. учет машинных носителей персональных данных; 

   g. реализация средств обнаружения фактов несанкционированного доступа к персональным данным и принимаются меры по каждому инциденту; 

   h. реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

   i. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ТМР, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных; 

   j. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 

• осуществление внутреннего контроля соответствия обработки персональных данных требованиям федерального закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ТМР в отношении обработки персональных данных, локальным актам ТМР; 

• проведение оценки вреда, который может быть причинен субъектам персональных данных; 

• ознакомление работников ТМР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных; 

• ознакомление работников сторонних организаций, непосредственно осуществляющих обработку персональных данных на территории ТМР, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. 

6.7 Права субъекта персональных данных 

ТМР гарантирует соблюдение прав субъектов персональных данных, определенных федеральным законом о персональных данных, а именно: 

• право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 

• право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

   a. подтверждение факта обработки персональных данных ТМР; 

   b. правовые основания и цели обработки персональных данных; 

   c. цели и применяемые в ТМР способы обработки персональных данных; 

   d. место нахождения ТМР, сведения о лицах (за исключением работников ТМР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТМР или на основании федерального закона; 

   e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 

   f. сроки обработки персональных данных, в том числе сроки их хранения; 

   g. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом; 

   h. информацию об осуществленной или о предполагаемой трансграничной передаче данных; 

   i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ТМР, если обработка поручена или будет поручена такому лицу; 

   j. иные сведения, предусмотренные Федеральным законом о персональных данных. 

• права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации; 

• права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки иго персональных данных; • других, предусмотренных федеральными законами. 

Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос ТМР в соответствии с федеральным законом о персональных данных. 

1Перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется в соответствии с Федеральным законом «О персональных данных» и нормативными актами уполномоченного органа по защите прав субъектов персональных данных.

 

Государственное юридическое бюро - Персональные данные гражданина

Правовой основой для развития института защиты персональных данных послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей ООН в 1948 г. Согласно статье 12 этого документа «никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию». Положения Декларации получили свое дальнейшее развитие в других международно-правовых документах. Далее, в 1976 году,  комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В России данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего в России началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. Так, в 2006 году был принят Федеральный закон № 152-ФЗ «О персональных данных», который чётко регламентировал все вопросы, касающиеся получения, использования, передачи персональных данных. Целью настоящего   закона стало обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Одним из главных требований закона является взятие с субъекта персональных данных согласия на обработку персональных данных. 

Согласно данному закону персональными данными является абсолютно любая информация, которая относится к определённому физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество, дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.

Закон выделяет три вида персональных данных:

- общедоступные персональные данные;

- специальные категории персональных данных;

- биометрические персональные данные.

К общедоступным  относятся такие персональные данные, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, либо, сведения, доступ к которым предоставлен с разрешения самого субъекта. 

К специальный категории персональных данных относятся   данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка этих данных не допускается, за исключением определенных законом  оснований.

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность  и которые используются оператором для установления личности субъекта персональных данных. Эти данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением некоторых случаев. 

 

Информация, предоставленная в настоящей статье, не является юридической консультацией и может оказаться неприменимой в конкретной ситуации.

ПОЛИТИКА Общества с ограниченной ответственностью «КЛААС» в отношении обработки и защиты персональных данных

  1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Политика Общества с ограниченной ответственностью «КЛААС» (далее — Политика) определяет цели, принципы сбора, обработки и реализуемые требования к защите персональных данных физических лиц  (далее субъекты персональных данных) в Обществе с ограниченной ответственностью «КЛААС», его подразделениях (далее — Общество).

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3. Политика разработана в соответствии Конституцией РФ, со ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и является основополагающим внутренним регулятивным документом Общества, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является Общество.

1.4. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Общества к защите конфиденциальной информации.

 

  1. ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕЙ ПОЛИТИКЕ

 

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

  1. ПРАВОВЫЕ ОСНОВАНИЯ, ЦЕЛИ, ПРИНЦИПЫ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Общество осуществляет обработку персональных данных в строгом соответствии с положениями  Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Конституции РФ, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и других действующих нормативно-правовых актов РФ.

3.2. Сведениями, составляющими персональные данные, в Обществе является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.3. Перечень обрабатываемых персональных данных, подлежащих защите в Обществе, формируется в соответствии с Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.4. Обработка персональных данных осуществляется Обществом с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152 ФЗ «О персональных данных»:

— обработка персональных данных осуществляется на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— обработке подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;

— обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

— при необходимости принимаются меры по удалению или уточнению неполных или неточных данных;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором;

— обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

3.5. Общество осуществляет обработку персональных данных только при условиях, определенных действующим законодательством Российской Федерации в области персональных данных.

3.6. В Обществе не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных в Обществе, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Обществом персональные данные уничтожатся или обезличиваются.

 

  1. ПОРЯДОК, УСЛОВИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Обработка персональных данных осуществляется Обществом с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

4.2. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости — и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

4.3. Общество осуществляет обработку персональных данных  с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений,  интимной жизни, не осуществляется.

 Данные о состоянии здоровья работников обрабатываются Обществом в соответствии с трудовым  законодательством РФ.

В Обществе не осуществляется  принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

4.5. Обработка персональных данных производится Обществом в следующих случаях:

— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

— обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

— обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

— обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

— обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

— обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.6. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных,  на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом РФ от  27 июля 2006 г. № 152-ФЗ «О персональных данных».

4.7. Общество не вправе раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных за исключением случаев, предусмотренных федеральными законами. 

4.8. Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.

4.9. В Обществе обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по охране информации, составляющей персональные данные. При обеспечении защиты персональных данных учитываются требования Федерального закона РФ от 27 июля 2006г. № 152-ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации.

4.10. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями действующего законодательством РФ (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральным законом  РФ №152-ФЗ от 27.07.2006 г. «О персональных данных», Федеральным законом 125 -ФЗ от 22.10.2004 г.  «Об архивном деле», а также иными требованиями действующего законодательства РФ и локальными актами Общества.

4.11. Общество прекращает обработку персональных данных в следующих случаях:

— в случае достижения цели обработки персональных данных или в случае утраты необходимости в их достижении;

— при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

— в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.

 

  1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1. Общество принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом РФ от 27.07.2006 N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

К таким мерам относятся:

— назначение  ответственных лиц за организацию обработки персональных данных;

— назначение  ответственных лиц за обеспечение безопасности персональных данных в информационных системах персональных данных;

— издание локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

— применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, в частности:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

— осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону РФ от 27.07.2006 N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, локальным актам Общества;

 — проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения  Федерального закона РФ от 27.07.2006 N 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Обществом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом РФ от 27.07.2006 N 152-ФЗ «О персональных данных»;

— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

 

  1. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6.1.Общество гарантирует соблюдение прав субъектов персональных данных, определенных Федеральным  Законом РФ от 27.07.2006 N 152-ФЗ «О персональных данных».

6.2. Субъект персональных данных имеет право:

—  на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Обществом;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые Обществом способы обработки персональных данных;

4) место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом РФ от 27.07.2006 N 152-ФЗ «О персональных данных»;

8) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

— требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

-отозвать свое согласие на обработку своих персональных данных.

— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных. 

— осуществление иных прав, предусмотренных законодательством РФ.

 

  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

7.1. Настоящая Политика является общедоступным  документом и подлежит размещению на официальном сайте Общества.

7.2. Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите  персональных данных.

 

законов о конфиденциальности данных: что нужно знать в 2020 году

Большинство веб-сайтов собирают информацию о своих пользователях, которая либо отправляется пользователями, либо собирается автоматически с помощью файлов cookie и других технологий. Владельцы бизнеса нуждаются в информации для доставки своих продуктов, рекламы своих услуг, общения с клиентами и потенциальными клиентами, а также для улучшения функциональности своих веб-сайтов. Клиенты и посетители вашего сайта, естественно, беспокоятся о том, что происходит с их личной информацией - как она хранится, кто имеет к ней доступ и какие меры предосторожности обеспечивают их конфиденциальность.

Практически каждая страна приняла какие-то законы о конфиденциальности данных, чтобы регулировать, как собирается информация, как информируются субъекты данных и какой контроль субъект данных имеет над своей информацией после ее передачи. Несоблюдение применимых правил конфиденциальности данных может привести к штрафам, судебным искам и даже запрету использования сайта в определенных юрисдикциях. Навигация по этим законам и постановлениям может быть сложной, но все операторы веб-сайтов должны быть знакомы с законами о конфиденциальности данных, которые влияют на их пользователей.Некоторые из них включают:

Законы США о конфиденциальности данных В США нет единого всеобъемлющего федерального закона, регулирующего конфиденциальность данных. Существует сложная мозаика из законов, относящихся к конкретным секторам и средам, включая законы и постановления, касающиеся телекоммуникаций, медицинской информации, кредитной информации, финансовых учреждений и маркетинга.

Закон о Федеральной торговой комиссии (15 USC § 41 et seq.) имеет широкую юрисдикцию над коммерческими организациями, находящимися в его ведении, с целью предотвращения недобросовестной или «вводящей в заблуждение торговой практики». Хотя FTC прямо не регулирует, какая информация должна быть включена в политику конфиденциальности веб-сайтов, она использует свои полномочия для принятия нормативных актов, обеспечения соблюдения законов о конфиденциальности и принятия принудительных мер для защиты потребителей. Например, FTC может принять меры против организаций, которые ...

  • Несоблюдение и поддержание разумных мер безопасности данных.
  • Несоблюдение каких-либо применимых принципов саморегулирования отрасли.
  • Несоблюдение опубликованной политики конфиденциальности.
  • Передача личной информации способом, не раскрытым в политике конфиденциальности.
  • Делать неточные заявления о конфиденциальности и безопасности (ложь) перед потребителями и в политике конфиденциальности.
  • Неспособность обеспечить достаточную безопасность личных данных.
  • Нарушение прав потребителей на конфиденциальность данных путем сбора, обработки или обмена информацией о потребителях является нарушением системы конфиденциальности FTC или национальных законов и постановлений о конфиденциальности.
  • Использование вводящей в заблуждение практики рекламы.
Другие федеральные законы, регулирующие сбор информации в Интернете, включают:

Законы о конфиденциальности государственных данных В дополнение к федеральным законам и постановлениям, в США действуют сотни законов о конфиденциальности и безопасности данных в штатах, территориях и населенных пунктах. В настоящее время 25 генеральных прокуроров штатов США контролируют законы о конфиденциальности данных, регулирующие сбор, хранение, защиту, удаление и использование личных данных, полученных от их жителей, особенно в отношении уведомлений об утечке данных и безопасности номеров социального страхования.Некоторые применяются только к государственным организациям, некоторые - только к частным организациям, а некоторые - к обоим.

Закон штата Калифорния о защите прав потребителей (CCPA)

На сегодняшний день наиболее полным законодательством штата о конфиденциальности данных является Закон Калифорнии о конфиденциальности потребителей (CCPA), подписанный 28 июня 2018 г. и вступивший в силу 1 января 2020 г. CCPA - это межотраслевой закон, который вводит важные определения и широкие индивидуальные права потребителей и налагают существенные обязанности на организации или лиц, которые собирают личную информацию о жителях Калифорнии или от них.Эти обязанности будут включать информирование субъектов данных о том, когда и как собираются данные, а также предоставление им возможности доступа, исправления и удаления такой информации. Эта информация должна быть раскрыта в политике конфиденциальности, отображаемой на веб-сайте организации, собирающей данные.

New York SHIELD Act

В июле 2019 года в Нью-Йорке был принят Закон о предотвращении взломов и повышении безопасности электронных данных (SHIELD). Этот закон вносит поправки в существующий закон Нью-Йорка об уведомлении об утечке данных и устанавливает дополнительные требования к безопасности данных для компаний, которые собирают информацию о жителях Нью-Йорка.По состоянию на март 2020 года закон полностью подлежит исполнению. Этот закон расширяет сферу конфиденциальности потребителей и обеспечивает лучшую защиту жителей Нью-Йорка от утечки их личной информации.

Другие законы о конфиденциальности данных на государственном уровне

Калифорния и Нью-Йорк являются первыми штатами, которые приняли широкое законодательство, оказывающее влияние на всю страну, но многие другие штаты США также рассматривают законы о конфиденциальности данных. Они не будут выглядеть так же, как CCPA или SHIELD Act, но, скорее всего, будут содержать аналогичные требования для конкретных нужд штата.

Как вы понимаете, улей государственных и федеральных законов о конфиденциальности в США слишком сложен, чтобы их можно было полностью описать. Вряд ли мы скоро увидим всеобъемлющий федеральный закон (хотя его поддержка растет). Следовательно, как организации, которая собирает и обрабатывает персональные данные, важно сотрудничать с такой службой, как Osano, чтобы соответствовать требованиям в этой сложной среде.

Международный закон о конфиденциальности данных: GDPR Наиболее важным законодательством о защите данных, принятым на сегодняшний день, является Общий регламент по защите данных (GDPR).Он регулирует сбор, использование, передачу и безопасность данных, полученных от жителей любой из 28 стран-членов Европейского Союза. Закон применяется ко всем резидентам ЕС, независимо от местонахождения организации, собирающей персональные данные. На организации, не соблюдающие GDPR, могут быть наложены штрафы в размере до 20 миллионов евро или 4% от общего мирового оборота. Некоторые важные требования GDPR включают:
Согласие
Субъектам данных должно быть разрешено дать явное, недвусмысленное согласие перед сбором персональных данных.Персональные данные включают информацию, собранную с помощью файлов cookie. Некоторая информация, которая обычно не считается «личной информацией» в США, например IP-адрес компьютера пользователя, считается «личными данными» в соответствии с GDPR.

Уведомление об утечке данных
Организации должны уведомлять надзорные органы и субъектов данных в течение 72 часов в случае утечки данных, затрагивающей личную информацию пользователей в большинстве случаев.
Права субъектов данных
Субъекты данных (люди, данные которых собираются и обрабатываются) имеют определенные права в отношении своей личной информации. Эти права должны быть доведены до сведения субъектов данных в четкой и доступной политике конфиденциальности на веб-сайте организации.
  1. Право на получение информации. Субъекты данных должны быть проинформированы о сборе и использовании их личных данных при их получении.
  2. Право на доступ к своим данным. Субъект данных может запросить копию своих личных данных через запрос субъекта данных. Контроллеры данных должны объяснять средства сбора, что обрабатывается и кому они передаются.
  3. Право исправления. Если данные субъекта данных неточны или неполны, они имеют право попросить вас исправить их.
  4. Право стирания. Субъекты данных имеют право потребовать удаления связанных с ними персональных данных по определенным основаниям в течение 30 дней.
  5. Право на ограничение обработки. Субъекты данных имеют право требовать ограничения или подавления их личных данных (хотя вы все равно можете их хранить).
  6. Право на переносимость данных. Субъекты данных могут безопасно и надежно передавать свои данные из одной электронной системы в другую в любое время, не нарушая ее удобство использования.
  7. Право на возражение. Субъекты данных могут возражать против использования их информации в маркетинговых, коммерческих или не связанных с услугами целях.Право на возражение не применяется, если выполняются юридические или официальные полномочия, задача выполняется в общественных интересах или когда организации необходимо обработать данные, чтобы предоставить вам услугу, на которую вы подписались.

Важность политики конфиденциальности в законах о конфиденциальности данных Любой веб-сайт должен иметь политику конфиденциальности, объясняющую пользователям, какая информация собирается, как она используется, как она может быть передана и как она защищена. Чтобы полностью соответствовать американским и европейским законам о защите данных, все субъекты данных должны иметь возможность дать согласие на сбор личной информации.Хотя большая часть информации о пользователях предоставляется добровольно, когда они подписываются на информационные бюллетени, заполняют формы или отправляют запросы по электронной почте, информация, полученная от третьих лиц и с помощью файлов cookie, также должна быть раскрыта, и пользователям следует предоставить возможность дать свое согласие заблокировать или отключить файлы cookie.

Обеспечение соответствия вашей компании законам о конфиденциальности данных Даже если ваша компания находится в юрисдикции, которая не внедрила всеобъемлющее законодательство о конфиденциальности данных, важно учитывать, где могут проживать ваши потенциальные пользователи и какие правила применяются.Если вы намереваетесь вести бизнес в Калифорнии, Нью-Йорке или Европейском Союзе, вы должны быть знакомы с требованиями CCPA, Закона SHIELD и GDPR. В большинстве случаев для вашей организации проще и дешевле придерживаться этих стандартов для всех ваших клиентов, а не применять разные правила в зависимости от местоположения.

Защита данных становится все более важной и повлияет на решения пользователей о том, где им делать покупки в Интернете.Репутация компании в отношении ответственного обращения с личными данными все чаще становится активом, который может привести к увеличению посещаемости веб-сайта, конверсии и положительному влиянию на прибыль.

Если вы готовы серьезно относиться к своим законам о конфиденциальности данных, зарегистрируйтесь в Osano. Osano - это простая в использовании платформа для обеспечения конфиденциальности данных, которая мгновенно приводит ваш веб-сайт в соответствие с CCPA, Законом SHIELD, GDPR и другими законами о конфиденциальности. Osano - это «соответствие в коробке», которое немедленно помогает вашему веб-сайту соответствовать законам о конфиденциальности данных.Соблюдайте сейчас.

Полное руководство по законам о конфиденциальности в США

Вопреки расхожему мнению, в США действительно есть законы о конфиденциальности данных. Действительно, нет центрального закона о конфиденциальности на федеральном уровне, такого как GDPR ЕС. Вместо этого есть несколько вертикально ориентированных федеральных законов о конфиденциальности, а также новое поколение законов о конфиденциальности, ориентированных на потребителя, исходящих из штатов.

Давайте познакомимся с законами США о конфиденциальности и познакомимся с окружающей средой.Если вы хотите узнать больше о правовом ландшафте США, загрузите наше замечательное The Essential Guide to US Data Protection Compliance and Rules.

Получите бесплатное основное руководство по соответствию и нормативным требованиям США по защите данных

Вертикально ориентированные законы США о конфиденциальности данных

Закон США о конфиденциальности 1974 г.

Еще в прошлом веке, когда базы данных были на пике компьютерных технологий, Конгресс и другие (справедливо) были обеспокоены потенциальным неправомерным использованием личных данных, находящихся в ведении правительства.Конгресс принял знаменательный Закон США о конфиденциальности 1974 года, который содержал важные права и ограничения на данные, хранящиеся в государственных учреждениях США, и должен быть хорошо знаком специалистам по данным в 2019 году. Я перечислю их здесь, потому что они являются первыми ссылками что я знаю на все последующее:

  • Право граждан США на доступ к любым данным государственных органов. И право копировать эти данные.
  • Право граждан на исправление информационных ошибок
  • Агентства должны следовать принципам минимизации данных при сборе данных - минимум информации, «актуальной и необходимой» для достижения своих целей.
  • Доступ к данным ограничен по принципу служебной необходимости - например, для сотрудников, которым нужны записи для выполнения их должностных обязанностей.
  • Обмен информацией между другими федеральными (и нефедеральными) агентствами ограничен и разрешен только при определенных условиях

Дополнительные баллы, если вы обратили внимание на принципы конфиденциальности, заложенные в этом новаторском законе о конфиденциальности 70-х годов!

HIPAA

Принятый в 1996 году Закон о переносимости и подотчетности медицинского страхования (HIPAA) стал важным законодательным актом, регулирующим медицинское страхование.Это очень сложный закон с множеством движущихся частей, но он включает разделы о конфиденциальности и безопасности. Часть защиты данных HIPAA находится в Правиле безопасности. HIPAA также установил требования к конфиденциальности данных, которые можно найти в Правиле конфиденциальности.

Если вы когда-либо заполняли форму в кабинете врача, позволяющую супругам и другим членам семьи просматривать или просматривать вашу медицинскую информацию - то, что HIPAA называет защищенной медицинской информацией (PHI), - вы видели правило конфиденциальности в действии. .

Правило конфиденциальности содержит запутанный список правил о том, кто имеет право видеть PHI. Но вкратце, поставщик медицинских услуг или «покрываемая организация» более или менее имеет разрешение на использование данных пациента, если это связано с «лечением, оплатой и медицинскими операциями». Однако для использования данных в маркетинговых целях или продажи PHI требуется явное разрешение.

Минимальные необходимые требования

HIPAA являются хорошим примером принципов PbD, применяемых к совместному использованию PHI. В нем говорится, что подпадающие под действие организации, которые делятся данными в маркетинговых целях, отличных от упомянутых выше, должны ограничивать круг лиц, которые могут их увидеть.Предполагается, что медицинские организации оценивают свои данные и методы работы и принимают меры для ограничения «ненужного или несоответствующего» доступа к ЗМИ. Фактически, доступ к PHI на основе ролей.

COPPA

Еще на заре развития Интернета, примерно в 2000 году, Закон о защите конфиденциальности детей в Интернете (COPPA) сделал первый шаг в регулировании личной информации, собираемой от несовершеннолетних. Закон прямо запрещает онлайн-компаниям запрашивать PII у детей в возрасте 12 лет и младше, если нет поддающегося проверке согласия родителей.

Обновления нормативных правил COPPA несколько лет назад эффективно расширили сферу действия закона и расширили тип защищаемой личной информации, включая экранные имена, адреса электронной почты, имена в видеочатах, а также фотографии, аудиофайлы и улицу. горизонтальные географические координаты.

Эти обновления также распространяют защиту конфиденциальности и безопасности на третьи стороны, использующие данные детей. Оператор исходного веб-сайта должен принимать «разумные меры для раскрытия личной информации детей только компаниям, которые способны обеспечить ее безопасность и конфиденциальность.”

GLBA

Еще один закон конца 90-х, Закон Грэмма-Лича-Блайли (GLBA) - это огромный кусок банковского и финансового права, который похоронил в себе важные требования к конфиденциальности и безопасности данных. Его защита личной информации является значительным улучшением по сравнению с предыдущими законами о финансовых данных о потребителях - см. Закон о справедливой кредитной отчетности (FCRA).

В целом, Закон Грэмма-Лича-Блайли защищает закрытую личную информацию (NPI), которая определяется как любая «информация, собранная о физическом лице в связи с предоставлением финансового продукта или услуги, если эта информация не является общедоступной иным образом» - по сути, PII с исключение для любой широко доступной финансовой информации - например, записей об имуществе или определенной информации об ипотеке.

Возможно, вы заметили, что банки периодически рассылают по почте уведомления о конфиденциальности данных, в которых объясняются категории собираемых и распространяемых NPI, а также специальные инструкции по отказу. Это связано с несколько ограниченной защитой конфиденциальности GLBA. Потребители могут отказаться, если они не хотят, чтобы эта информация была отправлена ​​«неаффилированной» третьей стороне.

Однако для сторонних компаний, аффилированных с банком или страховой компанией, которые являются частью «корпоративной семьи», потребители не имеют правового контроля конфиденциальности в соответствии с GLBA, чтобы ограничить совместное использование NPI.Это довольно большая лазейка, и GLBA ни в коем случае не является моделью закона о конфиденциальности эпохи Интернета.

Как обеспечивается конфиденциальность в Интернете?

Короткий ответ - нет! За пределами отраслевых федеральных законов США, описанных выше, Интернет - это дерегулируемая территория, где, в частности, технологические компании и компании, занимающиеся социальными сетями, придерживаются философии «все идет вперед». Однако штаты США, наконец, вступают (см. Ниже) со своими собственными законами о конфиденциальности данных, и Калифорния играет ведущую роль.

Вам может быть интересно, по каким законам, если нет общих законов о конфиденциальности (и безопасности) потребителей, правительство США могло наложить огромные штрафы на Facebook, Uber и PayPal?

Отличный вопрос!

И ответ приведет нас, пожалуйста, барабанную дробь, в Федеральную торговую комиссию или Федеральную торговую комиссию США. Вкратце, в соответствии с Законом о Федеральной торговой комиссии 1914 года, положившим начало этому государственному учреждению, компаниям запрещено совершать «несправедливые или вводящие в заблуждение действия или методы» в соответствии с его полномочиями по Разделу 5.Давным-давно, в Америке середины века, FTC начала принимать - и это может шокировать некоторых - откровенно ложную или вводящую в заблуждение рекламу некоторых ведущих американских потребительских брендов.

Отсюда совсем немного до Федеральной торговой комиссии, которая рассматривает вводящие в заблуждение «заявления» ведущих технологических компаний и компаний в социальных сетях о конфиденциальности собираемых ею данных о потребителях. Как, например, Facebook, и очень смелым образом он сообщал пользователям в своих приложениях и уведомлениях о конфиденциальности, что не будет продавать их данные или что пользователи могут ограничить доступ к данным, если будут нажимать на определенные поля.

На самом деле, все было наоборот, и в 2012 году FTC подала жалобу по восьми пунктам против Facebook, которую согласилась урегулировать. За этой жалобой последовала более свежая и широко разрекламированная жалоба FTC - по некоторым из тех же самых нарушений - в которой Facebook согласился на компенсацию в размере 5 миллиардов долларов. Вы не можете придумать это.

Facebook не нарушал особый закон о конфиденциальности в Интернете, поскольку… его нет! Вместо этого он нарушил закон начала 20-го века, призванный помешать компаниям продавать продукты из змеиного масла.Разве история не прекрасна?

Внимательный читатель мог понять, что если компания ничего не упоминает о конфиденциальности данных на своем веб-сайте, в своих продуктах или в рекламе, то FTC ничего не может сделать, по крайней мере, в соответствии с ее «практикой обмана или акты »полномочия. И это было бы правильно!

Это еще один способ сказать, что общий федеральный закон о конфиденциальности, подобный тому, что рассматривается здесь, заставит компании иметь политики конфиденциальности и соблюдать их, вместо того, чтобы проходить через косвенный (и несовершенный) механизм обеспечения конфиденциальности FTC.

Законы ЕС и США о конфиденциальности

Напомним, что в США (пока) нет общего закона о конфиденциальности данных потребителей на федеральном уровне, не говоря уже о законе о безопасности данных. В ЕС с его Общим регламентом по защите данных (GDPR) есть и то, и другое! Так что мы не можем сравнивать их.

Однако Калифорнийский закон о конфиденциальности потребителей (CCPA) действительно вплотную подошел к решению проблемы конфиденциальности данных потребителей, по крайней мере, для жителей Калифорнии, и это отличное упражнение для сравнения с GDPR, как то, что мы делаем ниже.

Короче говоря, и CCPA, и GDPR предоставляют потребителям право доступа, право на удаление и право отказаться от обработки в любое время. Они отличаются тем, что GDPR предоставляет потребителям право исправлять или исправлять неверные личные данные, в то время как CCPA этого не делает. GDPR также требует явного согласия - см. «Условие согласия» статьи 7 GDPR - в момент, когда потребители передают свои данные. Напротив, CCPA только просит, чтобы на веб-сайте было размещено уведомление о конфиденциальности, информирующее потребителей, что они имеют право отказаться от сбора определенных данных.

Если вышеперечисленное пощекотает вашего внутреннего законного орла, непременно обратитесь к этой всеобъемлющей сравнительной таблице GDPR и CCPA, составленной юридической фирмой BakerHostetler. Или посмотрите на нашу собственную прогулку по различиям, увиденными удивительной Сарой Хоспельхорн из Варониса!

Новый закон штата США о конфиденциальности данных

Учитывая отсутствие руководства в Вашингтоне, неудивительно, что другие штаты последовали примеру Калифорнии и разработали свои собственные законы о конфиденциальности. Прежде чем мы рассмотрим отдельные законы CCPA о «подражании» из Нью-Йорка, Массачусетса и других штатов, давайте сначала рассмотрим закон Калифорнии о конфиденциальности, которому позавидует вся нация.

Закон штата Калифорния о защите прав потребителей

В 2018 году был подписан Закон Калифорнии о конфиденциальности потребителей (CCPA). Его цель - распространить защиту конфиденциальности потребителей на Интернет. Не будет преувеличением сказать, что CCPA является наиболее всеобъемлющим законодательством США о конфиденциальности данных в Интернете, не имеющим аналогов на федеральном уровне.

Согласно CCPA, потребители имеют право через запрос доступа к данным (DSAR) получать доступ к категориям и конкретным частям личной информации, хранящейся в покрываемых компаниях.Компании не могут продавать личную информацию потребителей, не предоставив веб-уведомление («четкую и заметную ссылку») и предоставив им возможность отказаться.

Как и GDPR, существует также «право удалять» - с некоторыми исключениями - личную информацию потребителей по запросу. CCPA также дает потребителям ограниченное право на подачу иска, если они стали жертвой утечки данных. У генерального прокурора штата есть более общая возможность подавать иски от имени жителей. Законодательство находится в стадии разработки, чтобы расширить частное право потребителей предъявлять иски по другим основаниям.

Еще одним ярким нововведением в CCPA является очень широкое определение личной информации: «информация, которая идентифицирует, относится к, описывает, может быть связана или может быть разумно связана, прямо или косвенно, с конкретным потребителем или домохозяйством. ” Это охватывает множество вопросов и похоже на собственное расширенное представление GDPR о личных данных.

Чтобы вернуть его к «закону о черной букве», CCPA также содержит длинный список идентификаторов, которые он считает личной информацией, включая биометрические данные, геолокацию, электронную почту, историю просмотров, данные сотрудников и многое другое.

CCPA также вводит «вероятностные идентификаторы». Адвокаты будут обсуждать, что это означает, но похоже, что данные, дающие более 50% шансов на идентификацию кого-либо, будут рассматриваться так же, как детерминированный идентификатор. Возможно, сочетание, скажем, истории просмотров Netflix и данных геолокации может оказаться достаточным, чтобы склонить чашу весов. Кстати, другие государства подобрали вероятностный член в своих законах (см. Ниже).

Калифорния идет «мета» со своими вероятностными идентификаторами.

Несмотря на то, что основное внимание - и это справедливо - было уделено новым обширным правам потребителей на конфиденциальность, в CCPA также есть компонент безопасности данных. Закон призывает компании «внедрять и поддерживать разумные процедуры безопасности». Что это обозначает? Никто не уверен, хотя есть серьезные намеки на то, что правительство Калифорнии рассматривает 20 основных средств контроля Центра интернет-безопасности и структуру безопасности критической инфраструктуры (CIS) NIST в качестве основы.

Поскольку на горизонте нет федерального ответа на GDPR, несколько других штатов взяли страницу из книги Калифорнии, разработав свои собственные правила, чтобы предоставить гражданам больший контроль над своими личными данными.Хотя в большинстве этих законопроектов в качестве основы используется CCPA, между ними есть различия. В конце мы даже составили шпаргалку, чтобы сравнить различные предлагаемые законы штата. Давайте сначала посмотрим на два жестких предложения о конфиденциальности, исходящие от

Нью-Йорка и Массачусетса.

Закон штата Массачусетс о конфиденциальности данных

Предлагаемый Закон о конфиденциальности данных (S-120) во многом повторяет формулировки CCPA. Доступ потребителей к личной информации? Проверять. Право на удаление? Проверять. Явное уведомление о правах на конфиденциальность и возможность отказаться от продажи данных третьим лицам? Проверять.Широкое определение личной информации, включая вероятностные идентификаторы? Проверять.

Есть несколько важных отклонений от CCPA, которые включают право потребителей подавать в суд за любое нарушение предложенного закона штата Массачусетс. Потребители «не обязаны нести материальную или имущественную потерю в результате нарушения» для подачи иска.

Адвокаты

указывают на то, что компании из Массачусетса могут столкнуться с огромным потенциалом коллективных исков: истцы могут взыскать до 750 долларов на одного потребителя.Например, в 2017 году почти 400000 жителей штата Массачусетс пострадали от утечки данных, что привело к возможному ущербу, если бы закон действовал, почти на 300 миллионов долларов за этот год.

Закон штата Нью-Йорк о конфиденциальности

Предлагаемый

Нью-Йорк S5642 (в настоящее время приостановлен) содержит некоторые отличительные черты CCPA. Есть право удалять и запрашивать личную информацию. Определение личной информации - «любая информация, относящаяся к идентифицированному или идентифицируемому лицу» - включает очень обширный список идентификаторов: биометрические, адреса электронной почты, сетевую информацию и многое другое.

В отличие от Калифорнии и аналогично Массачусетсу, закон штата Нью-Йорк имеет частное право на иск за любое нарушение закона! И закон применяется ко всем предприятиям без какого-либо порога дохода, который отличается от Калифорнии и других штатов. Это делает предлагаемый закон штата Нью-Йорк довольно строгим.

Нью-Йоркский законопроект, однако, требует, чтобы компании раскрывали потребителям только широкие категории информации, передаваемой третьим сторонам. При некоторых обстоятельствах потребители будут иметь право запрашивать копии конкретной передаваемой информации.

Еще одно ключевое отличие заключается в том, что предлагаемый закон штата Нью-Йорк налагает роль фидуциара данных », вынуждая все предприятия штата Нью-Йорк нести юридическую ответственность за хранящиеся у них данные потребителей. Закон штата Нью-Йорк придерживается очень широкого взгляда: «выполнять обязанность осторожности, лояльности и конфиденциальности, ожидаемые от доверенного лица, в отношении защиты личных данных потребителя от риска нарушения конфиденциальности; и должен действовать в лучших интересах потребителя, без учета интересов юридического лица, контроллера или брокера данных ».Вкратце: данные принадлежат потребителям.

Закон штата Нью-Йорк также дает потребителям возможность исправлять неточную информацию, приближая ее по духу к GPDR ЕС. Ни один из других клонов, включая Калифорнию, не зашел так далеко!

Закон о защите конфиденциальности потребителей, Гавайи

SB 418

Hawaii аналогичен CCPA, предлагая все те же основные права и защиту (возможно, больше, исходя из нынешней формулировки законопроекта). В то время как CCPA явно применяется к веб-сайтам, ведущим свою деятельность в штате Калифорния, в законопроекте Гавайских островов SB 418 аналогичной статьи нет.Теоретически веб-сайты, расположенные в любой точке мира, могут нарушить закон, если они не обеспечат адекватную защиту, как указано в законопроекте. Однако законопроект, вероятно, будет изменен в более позднем проекте, чтобы сосредоточить внимание исключительно на гавайских веб-сайтах.

Закон штата Мэриленд о защите прав потребителей в Интернете

SB 613 штата Мэриленд

- еще один законопроект, который может расширить сферу действия CCPA в некоторых областях. Компании будут иметь аналогичные обязательства по раскрытию информации об использовании, но в меньшей степени, чем в соответствии с CCPA.И, как в Калифорнии и Массачусетсе, существует также использование «вероятностного идентификатора» для обозначения определенного типа личной информации. Вперед, Мэриленд!

Однако этот законопроект выходит за рамки CCPA, когда дело касается раскрытия информации о причастности третьих лиц. В соответствии с CCPA компании должны раскрывать информацию только в том случае, если информация о потребителях продается третьей стороне, но в соответствии с SB 613 штата Мэриленд компании должны будут раскрывать любую информацию, которая передается третьим сторонам, даже если эти данные передаются бесплатно. .Этот закон также запрещает веб-сайтам сознательно раскрывать любую личную информацию, собранную о детях.

Северная Дакота

HB 1485

Северной Дакоты, который в настоящее время находится в Палате представителей штата, является самым легким законопроектом в этом списке. Единственный существенный пункт HB 1485 полностью запрещает веб-сайтам передавать любую информацию третьим лицам без согласия пользователей. Нет права на удаление или удаление информации после получения согласия.

Сравнение законов штата США о конфиденциальности

Государство Право на удаление? Право на доступ? Право на исправление? Частное право частного иска? Широкое определение PII? Охваченных предприятий Статус
Калифорния Есть Есть 750 долл. США / потребитель (нарушения) Да (вероятностный) Выручка более 25 миллионов долларов Действует: 01.01.2020
Нью-Йорк Есть Есть Есть 750 долл. США / потребитель Есть Все На рассмотрении
Мэриленд Есть Есть №(Только через AG.) Да (вероятностный) Более 25 миллионов долларов На рассмотрении
Массачусетс Есть Есть 750 долл. США / потребитель Да (вероятностный) Более 10 миллионов долларов На рассмотрении
Гавайи Есть Есть Есть Все На рассмотрении
Северная Дакота Есть Limited Более 25 миллионов долларов На рассмотрении

Часто задаваемые вопросы и шпаргалка по конфиденциальности микроданных

Самая достойная коктейля болтовня о конфиденциальности из этого поста, сжатая в четыре вопроса!

Q: Есть ли в США единый закон о конфиденциальности потребителей в стиле GDPR?

А: Нет.Вместо этого в США действуют федеральные законы о конфиденциальности данных в сфере финансов (GLBA), здравоохранения (GLBA), данные о детях (COPPA), а также новая волна законов штата о конфиденциальности, среди которых наиболее важным является Закон Калифорнии о конфиденциальности потребителей (CCPA).

Причины этого лоскутного одеяла кроются в политических решениях США по стимулированию инноваций - «сломайте и посмотрите, что произойдет» - в технологиях, а не в других соображениях. Но в «наших лабораториях демократии» законы штатов наконец-то догоняют реальность и, в конечном итоге, будут вилять федеральной собакой.

Q: В каких штатах действуют законы о конфиденциальности?

A: Очень мало - всего три! Конечно, во всех 50 штатах теперь есть правило уведомления об утечке данных, которое обычно также требует разумной безопасности данных. Но на момент написания этой статьи законы о конфиденциальности действуют только в Калифорнии, Неваде и Мэн. В некоторых штатах (см. Выше) законы о конфиденциальности проходят через законодательные органы. Для получения текущего снимка статуса этих предлагаемых законов штата Международная ассоциация профессионалов в области конфиденциальности (IAPP) постоянно обновляет систему показателей.

Q: Что защищает Закон о конфиденциальности 1974 г.?

A: Многие люди предполагают, что когда в 1970-х годах был принят Закон о конфиденциальности, он защищал данные потребителей в США. Ничто не может быть дальше от правды! Хотя Закон США о конфиденциальности был новаторским законодательством, включающим такие идеи, как минимизация данных, право на доступ и право на исправление, он ограничен данными, собранными правительством США от своих граждан. Это не влияет на частный сектор или, в частности, на данные, собираемые компаниями в Интернете.

В. Влияют ли федеральные законы США и законы штата о конфиденциальности на иностранные компании?

A: Если иностранные компании имеют дочерние компании в США, они будут подчиняться всем законам США, включая, конечно, наши законы о безопасности данных и конфиденциальности. Настоящий вопрос заключается в том, есть ли в США экстерриториальный аспект своих законов о безопасности и конфиденциальности, таких как GDPR ЕС, который распространяется на организации за пределами его границ. И ответ на это нет.

Заключение мыслей о конфиденциальности и будущее законов о конфиденциальности данных

Поскольку штаты берут на себя инновации в этой области, возможно, принятие федерального закона, создающего равные условия игры, - это лишь вопрос времени.

А пока можно извлечь три урока из государственных экспериментов:

  • PII будет определена как выходящая за рамки обычных идентификаторов и включающая вероятностные идентификаторы (или квази-PII), которые могут использоваться для косвенной идентификации потребителей.
  • Право на удаление станет неотъемлемой частью законов о конфиденциальности. Будет ли это распространяться на более широкое «право на забвение» - маловероятно.
  • В настоящее время регулирующие органы понимают, что потребители хотят знать всю информацию о них, имеющуюся у компаний, с правом просмотра и, возможно, исправления этих данных.
Предложенный закон о конфиденциальности от конгрессмена Eschoo.

Куда все это идет? Если бы я мог прогнозировать, я бы сказал, что что-то близкое к недавно предложенным законам о конфиденциальности от конгрессмена Эску или сенатора Кэнтуэлла станет законом страны.

Иными словами, будущий закон США о конфиденциальности будет отражать некоторые ключевые идеи CCPA. Но, как мы видели в Калифорнии, скорее всего, будут исключения и смягчены требования, касающиеся прав сотрудников на конфиденциальность, запросов на доступ и удаление и, наконец, штрафов и штрафов.

Заинтригованы, обеспокоены или прямо напуганы тем, что происходит на пути к уединению? Запросите демонстрацию наших решений по обеспечению конфиденциальности и безопасности данных, чтобы узнать, чем мы можем помочь!

Защита данных 2020 | Законы и правила | США

1.

Соответствующее законодательство и компетентные органы

1.1 Каково основное законодательство о защите данных?

В США нет единого основного законодательства о защите данных.Скорее, набор из сотен законов, принятых как на федеральном уровне, так и на уровне штатов, служит для защиты личных данных жителей США. На федеральном уровне Закон о Федеральной торговой комиссии (15 Кодекса США § 41 и последующие ) в целом наделяет Федеральную торговую комиссию США (FTC) право применять принудительные меры для защиты потребителей от недобросовестных или обманных действий и обеспечения соблюдения федеральной конфиденциальности и правила защиты данных. FTC заняла позицию, согласно которой «методы обмана» включают невыполнение компанией своих опубликованных обещаний конфиденциальности и неспособность обеспечить надлежащую безопасность личной информации, а также использование обманчивой рекламы или маркетинговых методов.

Как более подробно описано ниже, другие федеральные законы в первую очередь касаются определенных секторов, таких как финансовые услуги или здравоохранение. Параллельно с федеральным режимом законодательные акты на уровне штатов защищают широкий спектр прав отдельных жителей на неприкосновенность частной жизни. Защита, предоставляемая законами штатов, часто значительно различается от штата к штату и охватывает самые разные области, от защиты библиотечных документов до защиты домовладельцев от наблюдения с дронов.

1.2 Есть ли какие-либо другие общие законы, влияющие на защиту данных?

Хотя общего федерального законодательства, влияющего на защиту данных, нет, существует ряд федеральных законов о защите данных, относящихся к конкретным секторам (см. Вопрос 1.3 ниже) или сосредоточиться на определенных типах данных. Например, Закон о защите конфиденциальности водителей 1994 года (DPPA) (18 Кодекса США § 2721 и след. ) регулирует конфиденциальность и раскрытие личной информации, собранной государственными департаментами транспортных средств, включая фотографии, номер социального страхования ( SSN), идентификационный номер водителя (DID), имя, адрес (но не пятизначный почтовый индекс), номер телефона, медицинская информация и информация об инвалидности. Информация о детях защищена на федеральном уровне в соответствии с Законом о защите конфиденциальности детей в Интернете (COPPA) (15 U.S. Code § 6501), который запрещает сбор какой-либо информации от детей младше 13 лет в Интернете и с устройств, подключенных к Интернету, и требует публикации уведомлений о конфиденциальности и сбора поддающегося проверке согласия родителей при сборе информации от детей. Закон о защите конфиденциальности видео (VPPA) (18 Свода законов США § 2710 и след. ) ограничивает раскрытие информации об аренде или продаже видео или аналогичных аудиовизуальных материалов, включая потоковую передачу в Интернете. Аналогичным образом, Закон о политике в области кабельной связи 1984 года включает положения, посвященные защите конфиденциальности абонентов (47 U.S. Кодекс § 551).

Незаконное наблюдение продолжает оставаться серьезной проблемой в Соединенных Штатах, и федеральное правительство и большинство штатов приняли законы, криминализирующие запись сообщений без получения согласия одной или всех сторон, в зависимости от закона. Ряд штатов приняли отдельные законы, касающиеся наблюдения, включая отслеживание местоположения по сотовой сети, фотографирование с помощью дронов и даже функции «слежки» за смарт-телевизором.

Законы штата

также могут налагать ограничения и обязательства на предприятия, связанные со сбором, использованием, раскрытием, безопасностью или хранением особых категорий информации, таких как биометрические данные, медицинские записи, номера SSN, информация о водительских правах, адреса электронной почты, библиотечные записи и т. Д. привычки просмотра телевидения, финансовые отчеты, налоговые отчеты, информация о страховании, информация об уголовном правосудии, записи телефонных разговоров и записи об образовании, и это лишь некоторые из наиболее распространенных.

В каждом штате принято законодательство об уведомлении об утечке данных, которое применяется к определенным типам личной информации о его резидентах. Даже если компания не имеет физического присутствия в конкретном штате, она, как правило, должна соблюдать законы штата, когда сталкивается с несанкционированным доступом или получением личной информации, которую он собирает, хранит, передает или обрабатывает в отношении жителей этого штата. Типы информации, подпадающей под действие этих законов, различаются, при этом в большинстве штатов личная информация определяется таким образом, чтобы включать имя или имя или имя человека и его фамилию, а также данные, включая SSN человека, водительские права или номер государственной идентификационной карты, номер финансового счета. или информацию о платежной карте.В некоторых штатах есть дополнительные триггерные данные, такие как дата рождения, девичья фамилия матери, номер паспорта, биометрические данные, идентификационный номер сотрудника или имя пользователя и пароль.

Некоторые штаты более активны, чем другие, когда дело касается защиты данных. Например, в Массачусетсе действуют строгие правила защиты данных (201 CMR 17,00), требующие от любой организации, которая получает, хранит, поддерживает, обрабатывает или иным образом имеет доступ к «личной информации» жителя Массачусетса в связи с предоставлением товаров или услуг. или в связи с приемом на работу: (а) внедрить и поддерживать всеобъемлющий письменный план информационной безопасности (WISP), учитывающий 10 основных стандартов, и (б) установить и поддерживать официальную программу информационной безопасности, которая удовлетворяет восьми основным требованиям, которые варьируются от шифрование для обучения информационной безопасности.В 2019 году штат Массачусетс обновил свой закон об уведомлении об утечке данных, чтобы потребовать от компаний раскрыть, действительно ли они поддерживают требуемый WISP, и раскрыть, какие шаги они предприняли или планируют предпринять в связи с инцидентом, включая обновление WISP.

В 2019 году Нью-Йорк расширил свой закон об уведомлении об утечке данных, включив в него четкое требование о том, чтобы организации разрабатывали, внедряли и поддерживали «разумные» меры безопасности для защиты безопасности, конфиденциальности и целостности частной информации.Примечательно, что Закон штата Нью-Йорк SHIELD (Закон штата Нью-Йорк, Закон о автобусах, § 899-bb) определяет ряд административных, технических и физических мер безопасности, которые, в случае их реализации, считаются отвечающими нормам разумности штата Нью-Йорк согласно закону. Ранее Нью-Йорк уделял приоритетное внимание регулированию определенных финансовых учреждений, ведущих бизнес в штате, путем установления минимальных стандартов кибербезопасности с требованиями к компаниям проводить периодическую оценку рисков и подавать ежегодные сертификаты соответствия (23 NYCRR 500).

В штате Иллинойс действует исключительно обширный закон штата (740 ILCS 14 /), который устанавливает требования к предприятиям, которые собирают или иным образом получают биометрическую информацию. Закон штата Иллинойс о конфиденциальности биометрической информации (BIPA) примечателен как на момент написания единственный закон штата, регулирующий использование биометрических данных, который позволяет частным лицам подавать иски и взыскивать убытки за нарушения. В январе 2019 года Верховный суд Иллинойса подробно остановился на защите BIPA, постановив, что закон не требует от лиц доказывать, что им причинен вред, кроме нарушения их законных прав на подачу иска.

Калифорния имеет долгую историю принятия законодательства о конфиденциальности, и в 2018 году штат принял Закон Калифорнии о конфиденциальности потребителей («CCPA»), который вступил в силу 1 января 2020 года. Закон ввел новые обязательства для покрытых предприятий, в том числе требования к раскрытию категорий личной информации, которую компания собирает о потребителях, конкретных частей личной информации, собранных бизнесом о потребителях, категорий источников, из которых собирается личная информация, деловых или коммерческих целей для сбора или продажи личной информации , а также категории третьих лиц, с которыми компания делится личной информацией.Он также ввел новые права для жителей Калифорнии, включая право запрашивать доступ к личной информации и ее удаление, а также право отказаться от продажи личной информации третьим лицам. Требования CCPA могут привести к изменению бизнес-моделей, основанных на данных, и потребовать значительных обновлений внешней и внутренней политики конфиденциальности и процедур соблюдения нормативных требований.

1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?

Ключевые отраслевые законы включают законы, регулирующие финансовые услуги, здравоохранение, телекоммуникации и образование.

Закон Грэмма Лича Блайли (GLBA) (15 Кодекса США § 6802 (a) и след. ) регулирует защиту личной информации в руках банков, страховых компаний и других компаний в сфере финансовых услуг. Этот закон касается «закрытой личной информации» (NPI), которая включает любую информацию, которую финансовая компания собирает от своих клиентов в связи с предоставлением своих услуг. Он налагает требования к компаниям отрасли финансовых услуг по обеспечению безопасности NPI, ограничению раскрытия и использования NPI и уведомлению клиентов, когда NPI ненадлежащим образом подвергается воздействию неуполномоченных лиц.

Закон о честной кредитной отчетности (FCRA) с поправками, внесенными Законом о справедливых и точных кредитных операциях (FACTA) (15 Кодекса США, § 1681), ограничивает использование информации, имеющей отношение к кредитоспособности, кредитоспособности, кредитоспособности, характеру человека. , общая репутация, личные характеристики или образ жизни для определения права на получение кредита, работы или страхования. Он также требует усечения номеров кредитных карт на распечатанных квитанциях, требует безопасного уничтожения определенных типов личной информации и регулирует использование определенных типов информации, полученных от аффилированных компаний, в маркетинговых целях.Наконец, он налагает обязательства на финансовые учреждения и кредиторов по созданию программ, которые обнаруживают и реагируют на случаи кражи личных данных в соответствии с Правилом красных флажков кражи личных данных.

В дополнение к законам и нормативным актам финансовой отрасли, крупные компании, выпускающие кредитные карты, требуют, чтобы предприятия, которые обрабатывают, хранят или передают данные платежных карт, соблюдали Стандарт безопасности данных индустрии платежных карт (PCI-DSS).

Закон о переносимости и подотчетности медицинской информации с поправками (HIPAA) (29 U.S. Кодекс § 1181 и след. ) защищает информацию, имеющуюся у застрахованного лица, которая касается состояния здоровья, предоставления медицинских услуг или оплаты медицинских услуг, которая может быть связана с физическим лицом. Его Правило конфиденциальности регулирует сбор и раскрытие такой информации. Его Правило безопасности предъявляет требования к защите этих данных.

Закон о защите потребителей телефонной связи (TCPA) (47 Кодекса США § 227) и связанные с ним нормативные акты регулируют звонки и текстовые сообщения на мобильные телефоны, а также регулируют звонки на домашние телефоны, которые совершаются в маркетинговых целях или с использованием систем автоматического набора или предварительно записанных сообщений. .

Закон о семейных правах на образование и неприкосновенность частной жизни (FERPA) (20 USC § 1232g) предоставляет студентам право проверять и проверять точность своих студенческих записей, а также запрещает разглашение этих записей или другой личной информации о студенте без согласие учащегося или родителя (в некоторых случаях).

Если федеральный закон регулирует конкретную тему, федеральный закон может иметь преимущественную силу в отношении любого аналогичного закона штата по этой теме. Однако в некоторых федеральных законах, таких как, например, GLBA, указывается, что они не имеют преимущественной силы по отношению к законам штата по этому вопросу.

1.4 Какие органы отвечают за защиту данных?

Хотя в Соединенных Штатах нет полномочного регулятора защиты данных, полномочия FTC очень широки и часто задают тон федеральным вопросам конфиденциальности и безопасности данных. Кроме того, ряд других агентств регулируют защиту данных посредством отраслевых законов, включая Управление финансового контролера, Министерство здравоохранения и социальных служб, Федеральную комиссию по связи, Комиссию по ценным бумагам и биржам, Бюро финансовой защиты потребителей ( CFPB) и Министерство торговли.

2.

Определения

2.1 Просьба предоставить ключевые определения, используемые в соответствующем законодательстве:

« Персональные данные »

В США информация, относящаяся к физическому лицу, обычно называется «личной информацией» (а не личными данными).Определение личной информации в США неодинаково во всех штатах или во всех нормативных актах. Кроме того, определенные данные могут считаться личной информацией для одной цели, но не для другой.

« Обработка »

Это не применимо в нашей юрисдикции.

« Контроллер »

Это не применимо в нашей юрисдикции.

« Процессор »

Это не применимо в нашей юрисдикции.

« Субъект данных »

Закон о защите данных штата обычно распространяется на «потребителя», проживающего на территории штата. Определение «потребитель» различается в зависимости от штата. Согласно законам многих штатов о защите данных, «потребитель» - это физическое лицо, которое занимается бизнесом в личных, семейных или домашних целях. Напротив, в соответствии с Законом Калифорнии о защите прав потребителей (CCPA) «потребитель» в широком смысле определяется как «физическое лицо, которое является резидентом Калифорнии».

« Конфиденциальные личные данные »

Это не применимо в нашей юрисдикции.

« Нарушение данных »

Определение утечки данных зависит от законодательного акта отдельного штата, но обычно включает несанкционированный доступ или получение компьютеризированных данных, которые ставят под угрозу безопасность, конфиденциальность или целостность личной информации.

Другие ключевые определения - укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)

Это не применимо в нашей юрисдикции.

3.

Территориальный охват

3.1 Распространяются ли законы о защите данных на предприятия, учрежденные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, учрежденный в другой юрисдикции, будет подпадать под действие этих законов?

Компании, учрежденные в других юрисдикциях, могут подпадать под действие федеральных законов и законов штата о защите данных в отношении действий, влияющих на жителей США, информацию которых компания собирает, хранит, передает, обрабатывает или делится.

4.

Основные принципы

4.1 Каковы основные принципы обработки персональных данных?

Прозрачная пленка

FTC выпустила руководящие принципы, поддерживающие принцип прозрачности, рекомендуя предприятиям: (i) предоставлять более четкие, короткие и стандартизированные уведомления о конфиденциальности, которые позволяют потребителям лучше понимать методы обеспечения конфиденциальности; (ii) предоставлять разумный доступ к хранящимся у них данным о потребителях, который пропорционален конфиденциальности данных и характеру их использования; и (iii) расширить усилия по информированию потребителей о методах обеспечения конфиденциальности коммерческих данных.

Законное основание для обработки

Хотя в законодательстве США нет требования «законной основы для обработки», FTC рекомендует компаниям уведомлять потребителей о своих методах сбора, использования и обмена данными и получать согласие в ограниченных случаях, когда использование данных потребителей существенно отличается от заявлено, когда данные были собраны или когда конфиденциальные данные собираются для определенных целей.

Ограничение по назначению

FTC рекомендует методы сохранения конфиденциальности, которые включают ограничение «сбора данных тем, что согласуется с контекстом конкретной транзакции или отношениями потребителя с бизнесом, или в соответствии с требованиями или специально разрешенными законом».

Минимизация данных

См. Выше.

Пропорциональность

См. Выше.

Удержание

FTC рекомендует методы сохранения конфиденциальности, которые реализуют «разумные ограничения на хранение данных», включая удаление «после того, как данные достигли законной цели, для которой они были собраны».

Прочие ключевые принципы - просьба указать

Это не применимо в нашей юрисдикции.

5.

Индивидуальные права

5.1 Каковы основные права физических лиц в отношении обработки их личных данных?

Право доступа к данным / копиям данных

Эти права зависят от закона. Например, при определенных обстоятельствах сотрудники имеют право получать копии данных, хранящихся у работодателей.В других обстоятельствах родители имеют право получать копии информации, собранной в Интернете от своих детей в возрасте до 13 лет. Согласно HIPAA, люди имеют право запрашивать копии медицинской информации, хранящейся у поставщика медицинских услуг. Кроме того, в соответствии с FCRA, физическим лицам разрешается получать копию информации о потребителях, которая хранится в агентстве по информированию потребителей. Кроме того, CCPA предоставляет жителям Калифорнии право доступа к личной информации, имеющейся у компании и относящейся к этому резиденту.

Право на исправление ошибок

Эти права зависят от закона. Некоторые законы, такие как FCRA, предоставляют потребителям право просматривать данные о потребителе, принадлежащие юридическому лицу, и запрашивать исправления ошибок в этих данных. На уровне штата право на исправление информации обычно прилагается к кредитным отчетам, а также к информации уголовного правосудия, трудовым книжкам и медицинским картам.

Право на удаление

Эти права зависят от закона.В качестве примера федерального закона COPPA предоставляет родителям право просматривать и удалять информацию о своих детях и может требовать удаления данных даже при отсутствии запроса. Законы некоторых штатов, такие как CCPA, предоставляют жителям Калифорнии право удаления с некоторыми исключениями.

Право на возражение против обработки

Эти права зависят от закона. Физическим лицам предоставляется право отказаться от получения коммерческих (рекламных) электронных писем в рамках CAN-SPAM и право не принимать определенные типы звонков на номера домашних или мобильных телефонов без явного согласия в соответствии с TCPA.Некоторые штаты предоставляют людям право не записывать телефонные разговоры без согласия всех сторон на звонок или согласия одной стороны на звонок.

Право на ограничение обработки

Эти права зависят от закона. Некоторые законы ограничивают то, как организация может обрабатывать данные потребителей. Например, CCPA позволяет жителям Калифорнии запрещать компании продавать личную информацию этого человека.

Право на перенос данных

Эти права зависят от закона.Примеры прав потребителей на переносимость данных существуют в соответствии с HIPAA, когда люди имеют право требовать, чтобы медицинская информация, хранящаяся у поставщика медицинских услуг, была передана другому поставщику медицинских услуг. Кроме того, CCPA предоставляет право на перенос данных для жителей Калифорнии.

Право на отзыв согласия

Эти права зависят от закона. Например, согласно TCPA, физическим лицам разрешается отозвать согласие на получение определенных типов звонков или текстовых сообщений на жилые или мобильные телефонные линии.

Право на возражение против маркетинга

Эти права зависят от закона. Некоторые законы разрешают потребителям ограничивать маркетинговую деятельность с использованием их личных данных. Например, в рамках CAN-SPAM люди могут отказаться от получения коммерческих (рекламных) электронных писем. Согласно TCPA, люди должны предоставить явное письменное согласие на получение маркетинговых звонков / текстовых сообщений на мобильные телефонные линии. Закон штата Калифорния «Shine the Light» требует, чтобы компании, которые делятся личной информацией для целей прямого маркетинга получателя, либо отказались, либо раскрыли потребителю определенную информацию о том, какая информация передается и с кем.

Право на подачу жалобы в соответствующие органы по защите данных

Эти права зависят от закона. Например, люди могут сообщать о нежелательной или вводящей в заблуждение коммерческой электронной почте («спам») непосредственно в FTC, а о нарушениях телемаркетинга - непосредственно в FCC. Точно так же любой может подать жалобу HIPAA напрямую в Департамент здравоохранения и социальных служб (HHS). На уровне штата жители Калифорнии могут сообщать о предполагаемых нарушениях CCPA Генеральному прокурору Калифорнии.

Прочие ключевые права - укажите

Это не применимо в нашей юрисдикции.

6.

Регистрационные формальности и предварительное одобрение

6.1 Есть ли у предприятий юридическое обязательство регистрироваться или уведомлять орган по защите данных (или любой другой правительственный орган) в отношении своей деятельности по обработке?

И Вермонт, и Калифорния требуют, чтобы брокеры данных регистрировались у генерального прокурора штата.Требование штата Вермонт, вступившее в силу в 2019 году, определяет «брокера данных», чтобы включать организации, которые сознательно собирают и продают или лицензируют третьим сторонам личную информацию потребителя, с которым бизнес не имеет прямых отношений (глава 9 VSA 62). Требование Калифорнии вступило в силу в 2020 году и аналогичным образом распространяется на сбор и продажу личной информации о потребителях, с которыми компания не имеет прямых отношений (Cal.Civ. Кодекс § 1798.99.82).

6.2 Если требуется такая регистрация / уведомление, должно ли оно быть конкретным (например, перечислять все действия по обработке, категории данных и т. Д.) Или может быть общим (например, с подробным описанием соответствующих действий по обработке)?

Государства, в которых была введена обязательная регистрация брокера данных, как правило, не требуют конкретного описания соответствующих действий по обработке данных. Калифорния делает необязательным для брокера данных предоставление в рамках своей регистрации любой информации, касающейся его методов сбора данных (Cal.Civ. Кодекс § 1798.99.82). Вермонт, напротив, более требователен и требует от владельцев регистраций раскрытия информации об отказе потребителей, о том, реализует ли брокер данных процесс идентификации покупателя, а также о количестве и степени любых нарушений безопасности брокера данных, с которыми он столкнулся в течение предыдущего года. Если брокеры данных сознательно владеют информацией о несовершеннолетних, закон Вермонта требует, чтобы они подробно описывали все соответствующие методы сбора данных, базы данных, коммерческую деятельность и политику отказа (9 V.S.A. § 2446).

6.3 На каком основании делаются регистрации / уведомления (например, для каждого юридического лица, для каждой цели обработки, для каждой категории данных, для каждой системы или базы данных)?

Регистрации брокеров данных производятся для каждого юридического лица.

6.4 Кто должен зарегистрироваться / уведомить орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающих под действие соответствующего законодательства о защите данных)?

В штатах, для которых он применяется, регистрация требуется в зависимости от бизнеса, подпадающего под определение «брокера данных» в соответствии с законодательством штата.Как правило, «брокер данных» определяется как бизнес, который сознательно собирает и продает личную информацию потребителя, с которым бизнес не имеет прямых отношений.

6.5 Какая информация должна быть включена в регистрацию / уведомление (например, сведения об уведомляющей организации, затронутые категории лиц, затронутые категории личных данных, цели обработки)?

См. Вопрос 6.2 выше.

6.6 Каковы санкции за отсутствие регистрации / уведомления в случае необходимости?

В Вермонте штраф составляет 150 долларов США в день в дополнение к регистрационному взносу в размере 100 долларов США.В Калифорнии брокер данных, не прошедший регистрацию, несет ответственность за гражданские штрафы, сборы и расходы в размере 100 долларов США за каждый день, когда брокер данных не может зарегистрироваться, а также за сумму, равную сборам, которые причитались за период, когда он не прошел регистрацию.

6.7 Какова плата за регистрацию / уведомление (если применимо)?

Сборы зависят от штата. Регистрационный сбор брокера данных в Вермонте составляет 100 долларов США, а в Калифорнии - 360 долларов США.

6.8 Как часто нужно обновлять регистрации / уведомления (если применимо)?

И в Вермонте, и в Калифорнии брокеры данных обязаны регистрироваться ежегодно.

6.9 Требуется ли предварительное одобрение регулирующего органа по защите данных?

Для подачи заявки на регистрацию брокера данных требуется одобрение генерального прокурора как Вермонта, так и Калифорнии.

6.10 Можно ли заполнить регистрацию / уведомление онлайн?

Регистрация брокера данных для Вермонта и Калифорнии может быть завершена онлайн.

6.11 Есть ли общедоступный список выполненных регистраций / уведомлений?

Вермонт и Калифорния ведут общедоступные списки зарегистрированных брокеров данных.

6.12 Сколько времени занимает типичный процесс регистрации / уведомления?

Ни Вермонт, ни Калифорния не публикуют информацию о типичной продолжительности процесса регистрации брокера данных.

7.

Назначение сотрудника по защите данных

7.1 Является ли назначение сотрудника по защите данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при определенных обстоятельствах, укажите эти обстоятельства.

Назначение сотрудника по защите данных не требуется в соответствии с законодательством США, но некоторые законодательные акты требуют назначения или назначения лица или лиц, которым поручено соблюдение требований конфиденциальности и безопасности данных в соответствии с законом. К ним относятся, например, GLBA, HIPAA и Положение о безопасности данных штата Массачусетс.

7.2 Каковы санкции за неприменение сотрудника по защите данных, если это необходимо?

Возможные санкции зависят от закона / регулирующего органа.

7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других последствий при приеме на работу в связи с его или ее ролью в качестве сотрудника по защите данных?

Это не применимо в нашей юрисдикции.

7.4 Может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций?

Это не применимо в нашей юрисдикции.

7.5 Опишите, пожалуйста, любую конкретную квалификацию сотрудника по защите данных, требуемую законом.

Это не применимо в нашей юрисдикции.

7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями законодательства или передовой практики?

Это не применимо в нашей юрисдикции.

7.7 Должно ли быть зарегистрировано / уведомлено о назначении сотрудника по защите данных в соответствующие органы по защите данных?

Это не применимо в нашей юрисдикции.

7.8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?

Это не применимо в нашей юрисдикции.

8.

Назначение обработчиков

8.1 Если компания назначает обработчика для обработки персональных данных от своего имени, должна ли компания заключать какие-либо соглашения с этим обработчиком?

В соответствии с законами определенных штатов и федеральными нормативными актами, если компания делится некоторыми категориями личной информации с поставщиком, она обязана по контракту обязать поставщика соблюдать разумные меры безопасности.Например, HIPAA требует использования соглашений с деловыми партнерами для передачи защищенной медицинской информации поставщикам. Другой пример - CCPA, который требует письменных контрактов с поставщиками услуг.

8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например, письменно, подписано и т. Д.) И какие вопросы оно должно решать (например, обработка личных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?

Форма контракта обычно не указывается. HIPAA, однако, является примером закона с минимальными требованиями к положениям, которые должны быть включены в соглашения о бизнес-партнерах. Эти соглашения должны включать ограничения на использование и раскрытие информации, а также требовать от поставщиков соблюдения Правил безопасности HIPAA, предоставления уведомлений о нарушениях и отчетов о несанкционированном использовании и раскрытии, возврата или уничтожения защищенных данных и предоставления доступа к их бухгалтерским книгам, записям и методам. федеральному регулятору.Согласно CCPA, контракт должен ограничивать поставщика услуг от сохранения, использования или раскрытия личной информации для любых целей, кроме оказания услуг, указанных в контракте.

9.

Маркетинг

9.1 Пожалуйста, опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например,g. для маркетинга по электронной почте или SMS требуется ли предварительное согласие получателя на подписку?).

Перед отправкой определенных маркетинговых текстов на мобильный телефон требуется предварительное письменное согласие в соответствии с TCPA. Другие федеральные законы содержат требования об отказе от участия, а не о согласии. Например, в рамках CAN-SPAM маркетинговые электронные письма - или электронные письма, отправленные с основной целью рекламы или продвижения коммерческого продукта или услуги - могут быть отправлены тем, кто не отказывается, при условии, что отправитель точно идентифицирован, строка темы и текст электронное письмо не является вводящим в заблуждение, электронное письмо содержит имя и адрес отправителя, электронное письмо содержит бесплатный простой механизм для отказа от будущих электронных писем, и отправитель соблюдает отказ в течение 10 дней с момента получения.

9.2 Применимы ли эти ограничения только к маркетингу «бизнес-потребитель» или они также применяются в контексте «бизнес-бизнес»?

Закон о TCPA и CAN-SPAM применяется к электронному прямому маркетингу как между предприятиями, так и между предприятиями. Напротив, телефонная связь между предприятиями, за исключением тех, которые предназначены для стимулирования розничной продажи офисных принадлежностей недлительного пользования или чистящих средств, не подпадают под действие Правила телемаркетинга, описанного в вопросе 9.3 ниже.

9.3 Опишите любые законодательные ограничения на рассылку маркетинговых материалов другими способами (например, для маркетинга по телефону необходимо заранее проверить национальный реестр отказа; для маркетинга по почте нет требований о согласии или отказе от рассылки. , так далее.).

Маркетинг по телефону регулируется на национальном уровне Правилами телемаркетинговых продаж, положениями Закона о телемаркетинге и предотвращении мошенничества и злоупотреблений со стороны потребителей. Этим законом был установлен национальный список номеров телефонов «Не звонить», которые нельзя использовать для маркетинговых коммуникаций (звонки и текстовые сообщения), а также требования к раскрытию информации для компаний, занимающихся телефонным маркетингом.Он также запрещает ограничения на использование телефонного маркетинга, включая, например, ограничение времени суток для маркетинговых звонков, требование от вызывающего абонента отказаться от будущих звонков и ограничение использования предварительно записанных сообщений. Для отправки маркетинговых материалов по почте нет требований о согласии или отказе от рассылки.

Следует отметить, что Федеральная торговая комиссия, регулирующая методы обмана, приняла меры принудительного характера в отношении передачи маркетинговых электронных писем или телемаркетинговых звонков компаниями, которые в своих публично опубликованных политиках конфиденциальности обещали, что личная информация не будет использоваться в маркетинговых целях.Кроме того, многие штаты применяют законодательные акты о практике обмана для наложения штрафов или судебного запрета в аналогичных обстоятельствах или когда нарушение федерального закона считается обманной практикой в ​​соответствии с законодательством штата.

9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?

Да, если получатель находится в США.

9.5 Активны ли соответствующие органы по защите данных в обеспечении нарушений маркетинговых ограничений?

FTC, FCC и генеральные прокуроры штатов принимают меры в этой области.

9.6 Законно ли покупать маркетинговые списки у третьих лиц? Если да, то есть ли какие-либо рекомендации по использованию таких списков?

Да; тем не менее, покупатель списка должен «очистить» его от национального списка «Не звонить» и списков отказа от рассылки по электронной почте покупателя. Некоторые штаты запрещают продажу адресов электронной почты лиц, которые отказались от получения маркетинговых писем, а некоторые запрещают продажу информации, полученной в связи с транзакцией покупки потребителем.

9.7 Каковы максимальные штрафы за отправку маркетинговых сообщений в нарушение действующих ограничений?

Штрафы по CAN-SPAM могут варьироваться от 16 000 до 41 484 долларов США за одно электронное письмо. Штрафы в соответствии с TCPA составляют 500 долларов США за нарушение, связанное с телефонным звонком / текстовым сообщением, 1500 долларов США за каждое умышленное или осознанное нарушение, а также дополнительные гражданские штрафы в размере до 10 000 долларов США за умышленные нарушения (на основании Закона TRACED, принятого в 2019 году), плюс штрафы, которые могут достигать 16 000 долларов США за каждое политическое сообщение или звонок, отправленный в нарушение Закона.Например, FTC и генеральные прокуроры нескольких штатов вынудили в 2017 году судебное решение на 280 миллионов долларов США за неоднократное нарушение компанией (включая более 66 миллионов звонков) TCPA, Правил продаж телемаркетинга FTC и закона штата.

Многие штаты имеют свои собственные законы о практике обмана, которые налагают дополнительные штрафы штатов, если нарушения федеральных законов считаются обманом в соответствии с законом штата.

10.

Файлы cookie

10.1 Опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).

Федеральный закон о компьютерном мошенничестве и злоупотреблениях был использован для предъявления судебных исков против использования файлов cookie для поведенческой рекламы, где файлы cookie позволяют проводить «глубокую пакетную» проверку компьютера, на котором они размещены. По крайней мере, два штата, Калифорния и Делавэр, требуют раскрытия информации о том, где файлы cookie используются для сбора информации о действиях пользователя в Интернете на разных веб-сайтах или с течением времени.Требуемое раскрытие должно включать, как оператор реагирует на так называемые сигналы «не отслеживать» или другие подобные механизмы.

Кроме того, Закон о Федеральной торговой комиссии и государственные законы о введении в заблуждение лежат в основе нормативного правоприменения и частных коллективных исков против компаний, которые не раскрыли или не предоставили ложных сведений об использовании отслеживающих файлов cookie. Одна компания урегулировала иск в 2012 году, выплатив Федеральной торговой комиссии 22,5 млн долларов США, а в 2016 году согласилась выплатить 5,5 млн долларов США для урегулирования частного коллективного иска с таким же поведением.

10.2 Различают ли применимые ограничения (если есть) разные типы файлов cookie? Если да, то каковы соответствующие факторы?

Закон о компьютерном мошенничестве и злоупотреблениях и Закон о конфиденциальности электронных коммуникаций, а также законы штата о надзоре могут вступить в игру, когда файлы cookie собирают информацию с компьютера, на котором они размещены, и передают эту информацию лицу, размещающему файлы cookie без надлежащего согласия. .

10.3 Предпринял ли на сегодняшний день соответствующие органы по защите данных какие-либо принудительные меры в отношении файлов cookie?

Да, Федеральная торговая комиссия (FTC) возбудила принудительные меры в отношении компаний, которые не раскрыли или не предоставили ложные сведения об использовании файлов cookie.

10.4 Каковы максимальные штрафы за нарушение действующих ограничений файлов cookie?

Максимальные штрафы законом не установлены.

11.

Ограничения на международную передачу данных

11.1 Опишите любые ограничения на передачу персональных данных в другие юрисдикции.

США не накладывают ограничений на передачу персональных данных в другие юрисдикции.

11.2 Опишите механизмы, которые обычно используют предприятия для передачи личных данных за границу в соответствии с применимыми ограничениями на передачу (например,g., согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. д.).

Это оставлено на усмотрение компании, поскольку США не накладывают ограничений на передачу персональных данных в другие юрисдикции. Что касается получения данных из-за границы, Рамочная программа по защите конфиденциальности ЕС-США предоставляет механизм для соблюдения требований защиты данных при передаче личных данных из Европейского Союза в США.

11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрации / уведомления или предварительного разрешения соответствующих органов по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, что включают в себя эти шаги и сколько времени они обычно занимают.

Такая регистрация / уведомление не требуется.

12.

Горячие линии для информаторов

12.1 Каков допустимый объем корпоративных горячих линий для информаторов (например, ограничения по типам вопросов, о которых можно сообщать, лицам, которые могут подавать отчет, лицам, которых может касаться сообщение, и т. Д.)?

Федеральный закон 1989 года о защите информаторов защищает федеральных служащих, и в некоторых штатах есть аналогичные законы, защищающие государственных служащих. Публичные компании, подпадающие под действие Закона Сарбейнса-Оксли, также должны иметь политику в отношении информаторов, которая должна быть одобрена советом директоров, и создавать процедуру для получения жалоб от информаторов.

12.2 Запрещено ли анонимное сообщение, категорически не рекомендуется или вообще разрешено? Если это запрещено или не рекомендуется, как предприятия обычно решают эту проблему?

Анонимное сообщение обычно разрешено. Правило 10A-3 Закона о фондовых биржах 1934 года, например, требует, чтобы комитеты по аудиту публичных компаний устанавливали процедуры конфиденциального анонимного представления сотрудниками вопросов, вызывающих озабоченность по поводу сомнительных вопросов бухгалтерского учета или аудита.

13.

Видеонаблюдение

13.1 Требуется ли для использования видеонаблюдения отдельная регистрация / уведомление или предварительное разрешение соответствующих органов по защите данных и / или какая-либо конкретная форма публичного уведомления (например, заметный знак)?

Использование видеонаблюдения должно соответствовать федеральным и государственным законам о вуайеризме / подслушивании, некоторые из которых требуют размещения знаков в местах проведения видеонаблюдения, ограничения использования скрытых камер или полного запрета на видеосъемку, если это место по своей природе является частным ( включая места, где люди обычно раздеваются, такие как ванные комнаты, гостиничные номера и раздевалки).

13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?

Как правило, нет ограничений на использование законно собранных данных видеонаблюдения в соответствии с установленными политиками компании или трудовыми соглашениями.

14.

Мониторинг сотрудников

14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?

Права сотрудников на неприкосновенность частной жизни, как и права любого человека, основаны на том принципе, что человек ожидает конфиденциальности, если это ожидание не было уменьшено или устранено контекстом, соглашением, уведомлением или законом. Мониторинг сотрудников, как правило, разрешен в той же степени, что и в отношении общественности, в том числе когда работодатель четко раскрывает тип и объем мониторинга, в котором он участвует, и при условии соблюдения общеприменимых законов о наблюдении в отношении заведомо частных мест, а также специфические для сотрудников законы, например, касающиеся конфиденциальности деятельности членов профсоюзов.

14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.

Права на согласие и уведомление зависят от штата, как и использование скрытых камер. При необходимости или добровольно работодатели обычно получают согласие на наблюдение за сотрудниками путем принятия справочников сотрудников и могут предоставить уведомление, разместив соответствующие знаки.

14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?

Закон о национальных трудовых отношениях запрещает работодателям контролировать своих сотрудников, когда они занимаются защищенной профсоюзной деятельностью.

15.

Безопасность данных и утечка данных

15.1 Существует ли общая обязанность по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?

В контексте потребителя FTC заявила, что меры безопасности компании для защиты личных данных должны быть «разумными», принимая во внимание множество факторов, включая объем и конфиденциальность информации, хранящейся в компании, размер и сложность деятельности компании, а также стоимость инструментов, доступных для устранения уязвимостей.Определенные федеральные законы и определенные статуты отдельных штатов также налагают обязательство обеспечивать безопасность личной информации. Например, GLBA и HIPAA налагают требования безопасности к финансовым услугам и медицинским учреждениям (и их поставщикам). Некоторые государства налагают обязательства по обеспечению безопасности данных на определенные организации, которые собирают, хранят или передают ограниченные типы личной информации. Например, Департамент финансовых услуг Нью-Йорка (NYDFS) принял в 2017 году правила, обязывающие все «регулируемые организации» принять программу кибербезопасности и процессы управления кибербезопасностью.Правила также требуют сообщать регулирующим органам о событиях в области кибербезопасности, таких как утечки данных и попытки проникновения. Охватываемые организации включают банки, ипотечные компании, страховые компании и пункты обналичивания чеков, которые иным образом регулируются NYDFS.

15.2 Существует ли требование закона сообщать о нарушениях данных в соответствующие органы по защите данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

На федеральном уровне, помимо требований об уведомлении о нарушениях, относящихся к самим федеральным агентствам, HIPAA требует, чтобы «Защищенная организация» сообщала о недопустимом использовании или разглашении в соответствии с Правилом конфиденциальности, которое ставит под угрозу безопасность или конфиденциальность защищенной медицинской информации, Департамент здравоохранения и социальных служб. Если нарушение затрагивает более 500 человек, такое уведомление должно быть сделано в течение 60 дней с момента обнаружения нарушения. Информация, которая должна быть предоставлена, включает информацию о субъекте, пострадавшем от нарушения, характере нарушения, времени (начало и конец) нарушения, времени обнаружения нарушения, типе раскрытой информации, мерах предосторожности, принятых до нарушение и действия, предпринятые после нарушения, включая уведомления, отправленные пострадавшим лицам, и меры по исправлению положения.

Хотя Закон о ценных бумагах и биржах и связанные с ним нормативные акты, в том числе Положение S-K, конкретно не являются обязательством по уведомлению о нарушении данных, они требуют от публичных компаний раскрывать информацию в документах, поданных в Комиссию по ценным бумагам и биржам, когда происходят существенные события, включая киберинциденты. От владельцев регистрации требуется, чтобы они делали выводы об эффективности средств контроля и процедур раскрытия информации. В той степени, в которой киберинциденты представляют риск для способности регистранта записывать, обрабатывать, обобщать и сообщать информацию, которая должна быть раскрыта в документах Комиссии SEC, руководство также должно рассмотреть, есть ли какие-либо недостатки в его средствах контроля и процедурах раскрытия информации, которые могли бы сделать они неэффективны.

Законы некоторых штатов требуют сообщать об утечках данных в агентство штата или генеральному прокурору при определенных условиях. Информация, которая должна быть предоставлена, зависит от штата, но обычно включает описание инцидента, количество затронутых лиц, типы раскрытой информации, время инцидента и обнаружения, действия, предпринятые для предотвращения будущих событий, копии уведомлений, отправленных в затронутых лиц, а также любые услуги, предлагаемые пострадавшим лицам, такие как кредитный мониторинг.

15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

На федеральном уровне HIPAA требует, чтобы покрываемые организации сообщали о нарушениях данных пострадавшим лицам без необоснованной задержки и ни в коем случае не позднее, чем через 60 дней.Уведомление должно включать описание нарушения, включая: типы информации, которая была затронута; шаги, которые люди должны предпринять, чтобы защитить себя, включая то, с кем они могут связаться в покрываемой организации за дополнительной информацией; а также то, что застрахованное лицо делает для расследования нарушения, уменьшения ущерба и предотвращения дальнейших нарушений. В случае нарушений, затрагивающих более 500 жителей штата или юрисдикции, охваченные организации должны предоставить уведомление местным СМИ в дополнение к индивидуальному уведомлению.

По состоянию на май 2018 года во всех 50 штатах, округе Колумбия, Гуаме, Пуэрто-Рико и Виргинских островах США есть законы, требующие сообщать о нарушениях данных, как это определено в каждом законодательном акте, пострадавшим лицам. Эти законодательные акты инициируются раскрытием личной информации резидента юрисдикции, поэтому, если нарушение происходит с участием жителей нескольких штатов, необходимо соблюдать законы нескольких штатов. В большинстве законодательных актов «нарушение безопасности системы» определяется как использование незашифрованной компьютеризированной личной информации, но в некоторых штатах личная информация содержится в любом формате.Вызов личной информации зависит от закона, и в большинстве случаев это имя или имя, имя и фамилия человека, а также точка данных, включая номер социального страхования, водительские права или номер государственной идентификационной карты, номер финансового счета или информацию о платежной карте. В некоторых штатах есть дополнительные триггерные данные, такие как дата рождения, девичья фамилия матери, номер паспорта, биометрические данные, идентификационный номер сотрудника или имя пользователя и пароль.Стандарты того, когда требуется раскрытие информации, варьируются от несанкционированного доступа к личной информации до несанкционированного получения личной информации, до неправомерного использования или риска причинения вреда личной информации. В большинстве штатов требуется уведомление, как только это практически возможно, и часто в течение 30–60 дней после обнаружения инцидента, в зависимости от закона. Информация, которая должна быть предоставлена, зависит от штата, но обычно включает описание инцидента, типы раскрытой информации, время инцидента и его обнаружение, действия, предпринятые для предотвращения будущих событий, информацию о шагах, которые люди должны предпринять для защиты, информацию ресурсы и любые услуги, предлагаемые пострадавшим лицам, такие как кредитный мониторинг.

15.4 Каковы максимальные штрафы за нарушение безопасности данных?

Штрафы зависят от закона и факта. Например, в соответствии с HIPAA денежные штрафы могут составлять от 100 до 50 000 долларов США за нарушение (или за запись) с максимальным штрафом в 1,75 миллиона долларов США в год за каждое нарушение. В 2019 году компания согласилась выплатить рекордный штраф в размере не менее 575 миллионов долларов США и потенциально до 700 миллионов долларов США в рамках урегулирования проблемы утечки данных, достигнутой с FTC, CFPB, 48 штатами, округом Колумбия и Содружеством США. Пуэрто-Рико.

16.

Правоприменение и санкции

16.1 Опишите правоприменительные полномочия органов по защите данных.

Некоторые законы разрешают исполнение только федеральным правительством, некоторые разрешают исполнение закона федеральным правительством или правительством штата, а некоторые разрешают исполнение через частное право на иск со стороны потерпевших потребителей.Гражданские и / или уголовные санкции зависят от соответствующего закона. Например, исполнение HIPAA разрешает наложение гражданских и уголовных наказаний. В то время как гражданские средства правовой защиты HIPAA применяются на федеральном уровне HHS, а на уровне штата - Генеральными прокурорами, Министерство юстиции США (USDOJ) несет ответственность за уголовное преследование в соответствии с HIPAA.

16.2 Имеет ли орган по защите данных право наложить запрет на конкретную деятельность по обработке данных? Если да, то требует ли такой запрет постановления суда?

The U.S. не имеет центрального органа по защите данных. Правоприменительные полномочия, в том числе вопрос о том, может ли регулирующий орган запретить конкретную деятельность по обработке, указаны в соответствующих законах. Например, к концу 2019 года восемь штатов приняли Типовой закон о безопасности данных о страховании, разработанный Национальной ассоциацией комиссаров по страхованию. Среди прочего, эти законы уполномочивают государственных комиссий по страхованию издавать приказы о прекращении действия, относящиеся к нарушениям обработки данных в страховой отрасли, и даже приостанавливать действие или отзывать лицензию страхового учреждения или агента на деятельность.

16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.

В США это зависит от соответствующего законодательного механизма правоприменения и агентства, осуществляющего правоприменительные меры. FTC, например, помимо публикации на своем веб-сайте всех документов, поданных в дела и судебные разбирательства FTC, ежегодно публикует сводку ключевых действий по обеспечению конфиденциальности и безопасности данных, а также урегулирования, в котором содержится руководство для предприятий по приоритетам правоприменения.Аналогичным образом, HHS публикует основные моменты правоприменения, резюмирует основные проблемы соответствия, заявленные во всех жалобах, и, по закону, поддерживает веб-сайт, на котором перечислены обязательные сообщения о нарушениях незащищенной защищенной информации о здоровье, затрагивающие 500 или более человек.

16.4 Исполняет ли орган по защите данных свои полномочия в отношении предприятий, учрежденных в других юрисдикциях? Если да, то как это обеспечивается?

Экстерриториальное исполнение закона U.Законодательство США будет зависеть от ряда факторов, в том числе от того, подпадает ли организация под юрисдикцию судов США, влияние на торговлю в США и влияние на жителей США, среди других факторов.

17.

Электронное открытие / раскрытие информации иностранным правоохранительным органам

17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за границы или запросы о раскрытии информации от иностранных правоохранительных органов?

Запросы на информацию, поданные в соответствии с договорами о взаимной правовой помощи, обычно обрабатываются через USDOJ, который работает с местным U.Прокуратура и местные правоохранительные органы до рассмотрения федеральным судьей и службой компании США.

17.2 Какие инструкции выпустили / выпустили органы по защите данных?

Руководство зависит от агентства, и нет центрального органа по защите данных. Например, FTC выпустила руководство по множеству вопросов, включая конфиденциальность детей, кражу личных данных и телемаркетинг. Генеральные прокуроры некоторых штатов также предлагают ресурсы на своих веб-сайтах для жертв кражи личных данных и для компаний, страдающих нарушениями безопасности данных.

18.

Тенденции и изменения

18.1 Какие тенденции в области правоприменения проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.

FTC продолжала активно регулировать вопросы безопасности и конфиденциальности данных в 2019 году. После проигрыша в федеральном апелляционном суде в 2018 году FTC подчеркнула изменения, которые она внесла для улучшения своих приказов о безопасности данных, выдаваемых компаниям.Их подход заключался в том, чтобы (1) сделать приказы более конкретными, (2) повысить ответственность сторонних оценщиков соответствия и (3) потребовать, чтобы проблемы безопасности данных были доведены до совета директоров компаний или других подобных руководящих органов. Кроме того, члены Комиссии FTC подчеркнули свою приверженность применению принудительных мер в отношении компаний, которые применяют несправедливые или необоснованные методы обеспечения конфиденциальности и защиты данных. Тем не менее, при этом члены Комиссии признали потенциальные пределы своих полномочий и призвали Конгресс принять закон, дополняющий эти полномочия, или, в качестве альтернативы, национальный закон о неприкосновенности частной жизни, исполнение которого будет обеспечиваться Федеральной торговой комиссией.

В сентябре 2019 года Федеральная торговая комиссия и Генеральный прокурор Нью-Йорка договорились о мировом соглашении с поисковой системой в Интернете и ее дочерней платформой для обмена видео, чтобы разрешить обвинения в нарушении закона США о защите личных сведений детей в Интернете, поскольку платформа обмена видео собирает личную информацию от детей согласие родителей. Урегулирование включало самый крупный денежный штраф, полученный FTC по делу COPPA, когда компании согласились выплатить 34 миллиона долларов США Нью-Йорку и 136 миллионов долларов США FTC.В дополнение к денежным расчетам компании должны также разработать, внедрить и поддерживать систему на платформе обмена видео, позволяющую владельцам каналов указывать контент, предназначенный для детей, чтобы обеспечить соблюдение COPPA.

В июле 2019 года Комиссия по ценным бумагам и биржам договорилась о мировом соглашении с компанией социальных сетей за предоставление вводящей в заблуждение информации относительно неправомерного использования пользовательских данных компании; такое неправомерное использование было признано гипотетическим, но имело место на самом деле.Компания, занимающаяся социальными сетями, согласилась на вступление в силу окончательного судебного решения о наложении штрафа в размере 100 миллионов долларов США и навсегда запретила ему в будущем нарушать вышеупомянутые законы о ценных бумагах.

HHS остается активным в обеспечении соблюдения требований HIPAA, и в начале 2019 года регулирующий орган получил компенсацию в размере 3 миллионов долларов США против некоммерческой больничной системы, которая пострадала от двух утечек данных и несоблюдение которой включало ее неспособность провести комплексный риск анализ, неспособность реализовать достаточные меры безопасности и невозможность получить письменное соглашение о деловом партнерстве с поставщиком, который от своего имени хранит защищенную в электронной форме медицинскую информацию.Аналогичным образом, в мае 2019 года HHS добилась еще одного урегулирования в размере 3 миллионов долларов США против компании, предоставляющей услуги диагностической медицинской визуализации, в результате инцидента с конфиденциальностью, произошедшего в мае 2014 года, когда компания не провела своевременное расследование инцидента, не уведомила пострадавших лиц в своевременно, не удалось провести всесторонний анализ рисков и не заключить соглашения о деловых партнерах со своими поставщиками, которые от ее имени хранят защищенную в электронном виде медицинскую информацию.

Генеральные прокуроры штата также сыграли ключевую роль в возбуждении принудительных мер в соответствии с законами конкретных штатов в 2019 году. Например, в июле Генеральные прокуроры 48 штатов, Содружества Пуэрто-Рико и Округа Колумбия, а также Федеральная торговая комиссия и Федеральная торговая комиссия CFPB урегулировал иски к компании за утечку данных в 2017 году, затронувшую более 147 миллионов потребителей в Соединенных Штатах. Компания согласилась выплатить не менее 575 миллионов долларов США, из которых Генеральные прокуроры получают 175 миллионов долларов США на различные цели, включая обучение потребителей и судебные издержки.

Наконец, компания, занимающаяся социальными сетями, согласилась выплатить 550 миллионов долларов США для урегулирования коллективного иска, возбужденного в соответствии с Законом штата Иллинойс о конфиденциальности биометрической информации (BIPA). Иск был вызван программным обеспечением для сопоставления лиц, используемым компанией, в котором утверждалось, что компания нарушила BIPA, собирая данные о лицах с фотографий миллионов пользователей в Иллинойсе без их разрешения.

18.2 Какие «горячие темы» сейчас находятся в центре внимания регулятора защиты данных?

Мы ожидаем, что следующие темы останутся актуальными в следующем году: вопросы, связанные со сбором и защитой биометрической информации; доступ потребителей к финансовой помощи и другим средствам правовой защиты в случае нарушения их прав на защиту данных, даже при отсутствии доказательств причинения вреда; усиление регулирования брокеров данных; и повышенное внимание регулирующих органов к защите коммерческих секретов и операционных данных (в дополнение к личным данным), когда их потеря или изменение может повлиять на рынок ценных бумаг или стабильность критически важной инфраструктуры.

Что такое Закон о конфиденциальности данных в вашей стране?

При создании контента для вашего веб-сайта юридические уведомления, такие как Условия использования, Уведомления о файлах cookie и Политика конфиденциальности, часто остаются в стороне.

Сообщения в блоге писать намного веселее, но пренебрежение предоставлением читателям правильной информации может вызвать у вас проблемы с законом.

Вы можете подумать, что только таким гигантам, как Google и Facebook, действительно нужна политика конфиденциальности или веб-сайты, которые обрабатывают конфиденциальные данные, такие как номера кредитных карт или номера социального страхования.

На самом деле, во многих странах с современными законами о конфиденциальности данных действуют правила обработки любой информации, которая может идентифицировать человека или использоваться для этого .

Даже если вы просто собираете имена и адреса электронной почты для своего информационного бюллетеня, отображаете несколько объявлений Google Рекламы на своем сайте или используете файлы cookie браузера для получения аналитики трафика, по закону многих юрисдикций вы обязаны информировать свою аудиторию об определенных фактах и ​​правилах. вашего сайта.

Если вы этого не сделаете или просто используете общий шаблон Политики конфиденциальности, который неточно отражает вашу политику, вам могут угрожать судебным иском от посетителей вашего веб-сайта или правительства, и в конечном итоге вы будете платить огромные штрафы или судебные издержки - или даже тюремное заключение.

Зачем рисковать? Сэкономьте время, проблемы и расходы на юридические последствия и узнайте больше о законах вашей страны о политике конфиденциальности прямо здесь.

Законы о конфиденциальности по странам

Законы, касающиеся требований политики конфиденциальности для веб-сайтов, обычно включаются в законы о конфиденциальности или защите данных страны. Эти законы регулируют использование информации о частных лицах. Законы о конфиденциальности были приняты относительно недавно в более чем 80 странах мира.

Аргентина

Закон Аргентины о защите личных данных 2000 года применяется к любому физическому или юридическому лицу на территории Аргентины, которое имеет дело с личными данными. Персональные данные включают в себя любую информацию, относящуюся к физическим лицам, за исключением базовой информации, такой как имя, род занятий, дата рождения и адрес.

«Персональные данные» могут, однако, включать использование файлов cookie браузера. Если вы отслеживаете своих посетителей с помощью службы аналитики или если вы используете рекламную сеть, которая использует файлы cookie, эти правила будут применяться к вам.

Существуют некоторые юридические разногласия по поводу того, считаются ли IP-адреса личными данными, с экспертами с обеих сторон. На всякий случай вы, вероятно, захотите получить согласие, если собираете какую-либо информацию об IP-адресе человека или каким-либо образом используете файлы cookie.

Согласно законам Аргентины, касающимся конфиденциальности, обработка или обработка личных данных разрешена только в том случае, если субъект дал предварительное информированное согласие. Информированное согласие означает, что вы должны сообщить им цель сбора данных, последствия отказа в предоставлении данных или предоставления неточной информации, а также их право на доступ, исправление и удаление данных.Кроме того, любой человек может запросить удаление своих данных в любое время.

Австралия

Принципы конфиденциальности Австралии (APP) - это сборник из 13 принципов, регулирующих обращение с личной информацией. В соответствии с этими принципами вы должны управлять личной информацией открытым и прозрачным способом, что означает наличие четкой и актуальной Политики конфиденциальности в отношении того, как вы управляете личной информацией.

Политика конфиденциальности

, согласно австралийскому законодательству, должна подробно описывать , почему и как вы собираете личную информацию, последствия непредоставления личной информации, способы доступа отдельных лиц и их исправления, а также то, как отдельные лица могут пожаловаться на нарушение принципы.

Одна из функций Офиса австралийского комиссара по информации (OAIC) ​​- расследовать любые жалобы о нарушении конфиденциальности, связанные с обработкой вашей личной информации. Любой желающий может бесплатно подать жалобу в офис в любое время, и офис расследует это как можно скорее.

Во избежание жалоб на обращение с личной информацией важно иметь четкую и точную Политику конфиденциальности, включающую все требования, изложенные в приложении.

Бразилия

В 2014 году Бразилия приняла Закон Бразилии об Интернете, который регулирует правила сбора, хранения, обработки и использования личных данных в Интернете.

Любое бразильское физическое и юридическое лицо должно получить чье-либо предварительное согласие перед сбором своих личных данных в Интернете каким-либо образом. Согласие не могут дать лица младше 16 лет, а в возрасте от 16 до 18 лет они должны получить согласие своего законного опекуна. Поэтому, прежде чем собирать какую-либо информацию, обязательно спросите, старше ли пользователь 18 лет.

В нем также говорится, что ваши условия и положения о том, как вы собираете, храните и используете личные данные, должны быть легко идентифицированы вашими пользователями, что означает наличие точной и простой для понимания политики конфиденциальности.

Канада

Закон Канады о защите личной информации и электронных данных (PIPEDA) регулирует порядок сбора, хранения и использования информации о пользователях в Интернете в ходе коммерческой деятельности. Согласно закону, вы должны сделать информацию о вашей политике конфиденциальности общедоступной для клиентов.

Ваша Политика конфиденциальности должна быть простой для поиска и понимания, а также должна быть максимально конкретной в отношении того, как вы собираете, обрабатываете и используете информацию.

Для получения дополнительной информации ознакомьтесь с инструментарием по вопросам конфиденциальности и информационным бюллетенем Управления уполномоченного по вопросам конфиденциальности Канады.

Чили

В соответствии с Законом Чили о защите личных данных, принятым в 1998 году, личные данные могут быть собраны только с разрешения пользователя. Вам также необходимо информировать пользователей о любом обмене информацией с третьими сторонами (например, если у вас есть поставщик информационных бюллетеней по электронной почте, например MailChimp или AWeber, с которым вы отправляете электронные письма).

Однако вам не нужно получать разрешение на получение базовой информации, такой как имя или дата рождения человека, или если вы используете данные только для внутренних целей для предоставления услуг, статистики или ценообразования.

Колумбия

Закон

Колумбии 1377 гласит, что вы должны информировать пользователей о целях, для которых будут использоваться их данные, и вы не можете использовать данные для каких-либо других целей без получения согласия.

Политика конфиденциальности

должна включать описание цели и методов обработки данных, прав пользователей на свои данные и процедуры реализации этих прав, а также определение того, кто несет ответственность за обработку данных.

Чешская Республика

Закон № 101/2000 Coll. О защите личных данных регулирует порядок сбора личных данных любым лицом в Чешской Республике.

Если вы собираете какую-либо информацию, касающуюся идентифицируемого лица, вам необходимо сообщить им о цели сбора данных и способах их сбора, а также получить их согласие.

Дания

Дания приняла Закон об обработке персональных данных в 2000 году. Датское агентство по защите данных контролирует и обеспечивает соблюдение законов о конфиденциальности.Если они обнаруживают нарушения закона, они могут объявить о запрете или принудительном исполнении или даже сообщить о нарушении в полицию.

Согласно закону, личные данные могут быть собраны только в том случае, если пользователь дает явное согласие. Кроме того, компания не может раскрывать личную информацию третьим лицам в целях маркетинга без согласия.

Эстония

Закон о защите личных данных 2003 года в Эстонии гласит, что личные данные должны собираться честно и законно.Вы должны получить согласие пользователей и сообщить им о цели сбора их данных и использовать их только таким образом. Политика конфиденциальности - это ключевой способ информировать пользователей.

Европейский Союз

Общий регламент по защите данных (GDPR) вступил в силу в 2018 году и на сегодняшний день является самым строгим законом о защите конфиденциальности в мире. С тех пор он вдохновил другие законы по всему миру повысить их требования и вдохновил на создание новых законов.

GDPR защищает людей в ЕС от незаконного сбора или обработки данных и работает над повышением требований к согласию, предоставляет расширенные права пользователей и требует Политики конфиденциальности, написанной в простой для понимания форме.

Финляндия

Закон о персональных данных регулирует обработку персональных данных, собранных в Финляндии, где конфиденциальность считается основным правом. Любой, кто собирает персональные данные в Финляндии, должен иметь четко определенную цель сбора данных и не может использовать их для каких-либо других целей.

Персональные данные могут быть собраны только после получения однозначного согласия пользователя.

Контроллер (физическое или юридическое лицо, собирающее данные) собранных данных также должен создать описание файла данных, включая свое имя и адрес, а также цель сбора данных.Это описание должно быть доступно всем.

Существуют также особые ограничения, которые применяются, если вы собираете данные для целей прямого маркетинга или другой персонализированной рассылки, связанной с маркетингом. Ваша база данных должна быть ограничена базовой информацией и контактной информацией (конфиденциальные данные не могут быть собраны).

Франция

Закон о защите данных (DPA) 1978 года (пересмотрен в 2004 году) является основным законом, защищающим конфиденциальность данных во Франции. Кодекс почтовых и электронных коммуникаций также касается сбора личных данных при их использовании для отправки электронных сообщений.

DPA применяется к сбору любой информации, которая может быть использована для идентификации личности, и имеет очень широкий охват. Правила распространяются на всех, кто собирает данные, кто находится во Франции или осуществляет свою деятельность на предприятии во Франции (например, если ваш хостинг-сервер или другой поставщик услуг, связанных со сбором или обработкой данных, находится во Франции). Вот почему французское управление по защите данных смогло оштрафовать Google за нарушение их законов о конфиденциальности.

Перед автоматической обработкой любых личных данных вы должны получить согласие субъекта и сообщить ему ряд вещей, включая цель обработки, личность и адрес контроллера данных, период времени, в течение которого данные будут быть сохранены, кто может получить доступ к данным, как данные защищены и т. д.

Германия

В Германии Федеральный закон о защите данных от 2001 г. гласит, что любой сбор любых личных данных (включая IP-адреса компьютеров) запрещен, если вы не получили явного согласия субъекта. Вы также должны получать данные непосредственно от темы (например, незаконно покупать списки адресов электронной почты у третьих лиц).

В соответствии с разделом Закона о принципах прозрачности субъект должен быть проинформирован о сборе данных и его цели.После того, как данные собраны для определенной цели, вы не можете использовать их для каких-либо других целей без получения дополнительного согласия.

Эти законы применяются к любому сбору данных на территории Германии, и Федеральное агентство по защите данных и 16 отдельных государственных агентств по защите данных обеспечивают их соблюдение.

Греция

Законы Греции об обработке персональных данных защищают права на неприкосновенность частной жизни в отношении электронных коммуникаций.

Обработка персональных данных разрешена в Греции только в том случае, если вы получите согласие после уведомления пользователя о типе данных, а также о цели и объеме обработки.Согласие можно дать электронным способом, если вы убедитесь, что пользователь полностью осведомлен о последствиях дачи согласия. Кроме того, они могут в любой момент отозвать согласие.

Гонконг

Постановление

Гонконга о персональных данных гласит, что пользователи должны быть проинформированы о цели любого сбора персональных данных и о классах лиц, которым эти данные могут быть переданы (например, если вы используете какие-либо сторонние сервисы для обработки данных, такие как электронная почта информационный бюллетень).

Принцип открытости постановления гласит, что ваша политика и практика в отношении персональных данных должны быть общедоступными, в том числе о том, какие данные вы собираете и как они используются.

Если вы нарушите Постановление о персональных данных, вам могут грозить штрафы в размере до 50 000 гонконгских долларов и тюремное заключение сроком до 2 лет, а также ваши пользователи могут подать на вас в суд.

Венгрия

В Венгрии конфиденциальность личных данных защищена Законом LXIII 1992 г. о защите личных данных и опубликовании данных, представляющих общественный интерес. Его основная цель - гарантировать, что люди могут контролировать свои собственные данные.

Согласно закону, вы должны получить согласие человека на обработку его личных данных.Вы можете собирать данные только с явной целью, и вы должны сообщить пользователю, что передача его личных данных является добровольной.

Если вы нарушите закон, ваши пользователи могут подать на вас в суд, и вы можете быть обязаны оплатить любой ущерб, который вы причините неправильным обращением с их данными.

Исландия

Исландию называют «Швейцарией данных» за ее строгие законы о конфиденциальности. Закон о защите данных 2000 г. гласит, что данные должны быть получены для определенных целей и только после того, как субъект даст недвусмысленное и осознанное согласие.

Для того, чтобы дать согласие, они должны быть проинформированы о типе собираемых данных, цели сбора, способах обработки данных, способах защиты их данных и о том, что они могут отозвать свое согласие в любое время.

Несоблюдение закона может привести к штрафу или даже тюремному заключению до 3 лет.

Ирландия

В Ирландии конфиденциальность личных данных регулируется Законом о защите данных 1988 года, включая поправку 2003 года. Также есть Правила электронной конфиденциальности 2011 г. (S.I. 336 от 2011 г.), который касается электронных коммуникаций.

Ирландия проводит различие между Политикой конфиденциальности организации и ее публичным Заявлением о конфиденциальности. Политика конфиденциальности - это подробный юридический документ, в котором объясняется, как организация применяет все 8 правовых принципов защиты данных.

Заявление о конфиденциальности, с другой стороны, является общедоступным документом на веб-сайте, который четко и кратко декларирует, как организация применяет принципы к тому, как они собирают личные данные (включая использование файлов cookie браузера) через свой веб-сайт.

По закону любая организация в Ирландии должна иметь публичное Заявление о конфиденциальности на своем веб-сайте.

Если ваш веб-сайт собирает какую-либо личную информацию или отслеживает пользователей с помощью файлов cookie, и у вас нет заявления о конфиденциальности, уполномоченный по защите данных может провести расследование и оштрафовать вас на сумму до 100 000 евро.

Индия

В Индии Закон об информационных технологиях четко гласит, что у каждой компании должна быть опубликована политика конфиденциальности на своем веб-сайте, независимо от того, имеете ли вы дело с конфиденциальными личными данными или нет.Политика конфиденциальности должна описывать , какие данные вы собираете, цель этих данных, какие-либо третьи стороны, которым они могут быть раскрыты, и какие методы безопасности вы используете для защиты данных .

Определенные конфиденциальные данные, включая пароли или финансовую информацию, не могут быть собраны или обработаны без предварительного согласия пользователя.

Италия

Кодекс защиты данных

Италии устанавливает строгие правила для любого вида электронного маркетинга. Согласно коду, вы должны получить согласие пользователя, прежде чем отслеживать его или использовать данные для рекламных или маркетинговых коммуникаций.Вы должны предоставить пользователям конкретную информацию перед сбором или обработкой их данных, включая цель и методы обработки данных, а также их индивидуальные права в соответствии с законом.

Управление по защите данных Италии защищает права людей в отношении конфиденциальности их личных данных. Они могут наложить штрафы, такие как штраф в миллион евро, которым они угрожали Google за нарушение итальянских правил конфиденциальности.

Япония

В Японии Закон о защите личной информации защищает права людей в отношении их личных данных.Определение личных данных в законе очень широкое и даже применяется к информации, которую можно найти в общедоступном каталоге.

Закон гласит, что вы должны как можно точнее описать цель собираемых вами персональных данных. Кроме того, чтобы передать личные данные третьим лицам (например, службе рассылки новостей по электронной почте), вы должны получить предварительное согласие.

Латвия

Закон Латвии о защите личных данных применяется к обработке всех видов личных данных.В нем говорится, что вы можете обрабатывать личные данные только после получения согласия пользователя. При сборе личных данных вы должны сообщить им конкретную информацию, в том числе цель сбора их данных, любых третьих лиц, которые могут иметь доступ к их данным, а также их личные права на защиту своих данных в соответствии с законом.

Литва

Закон Литвы о правовой защите личных данных гласит, что для сбора и обработки любой личной информации, которая может идентифицировать человека, вы должны сначала получить четкое согласие от этого лица.Закон гласит, что согласие может быть определено как согласие только в том случае, если физическое лицо соглашается на использование его данных для определенной цели, известной ему, поэтому вам необходимо сообщить пользователям, почему вы собираете их данные и как вы это делаете. собираются использовать его, чтобы их согласие было юридически действительным.

Люксембург

В Люксембурге Закон от 2 августа 2002 г. о защите лиц при обработке личных данных гласит, что пользователи должны дать информированное согласие, прежде чем их данные будут собраны и обработаны.Пользователь должен быть проинформирован о вашей личности, вашей цели сбора их данных, любых третьих лицах, имеющих доступ к их данным, и их конкретных правах в отношении их данных.

Любому нарушителю закона грозит тюремное заключение от 8 дней до 1 года и / или штраф в размере от 251 до 125 000 евро.

Малайзия

Закон Малайзии о защите личных данных 2010 г. защищает любые личные данные, собранные в Малайзии, от неправомерного использования. Согласно закону, вы должны получить согласие пользователей, прежде чем собирать их личные данные или передавать их третьим лицам.Чтобы их согласие было действительным, вы должны уведомить их в письменной форме о цели сбора данных, их правах запрашивать или исправлять свои данные, о том, какой класс третьих лиц будет иметь доступ к их данным, и будут ли они ' re обязаны делиться своими данными и последствиями, если они этого не сделают.

Мальта

На Мальте право на неприкосновенность частной жизни считается основным правом человека и частично защищается Законом о защите данных 2001 года. В законе говорится, что личные данные могут собираться и обрабатываться только для конкретных, четко заявленных и законных целей, и что пользователь должен дать свое информированное и недвусмысленное согласие до его сбора.Чтобы их согласие было действительным, вы должны сообщить им свою личность и место жительства, цель сбора данных, любых других получателей данных, является ли их участие обязательным или добровольным, а также все об их применимых правах на доступ, исправление, или стереть данные.

Мексика

В Мексике Федеральный закон о защите личных данных, принадлежащих частным лицам, касается конфиденциальности личных данных. Закон гласит, что вы можете собирать личные данные только по причинам, указанным в вашей Политике конфиденциальности, и что вы должны получить согласие на сбор и обработку любых личных данных, которые не являются общедоступными.Вы также обязаны информировать пользователей об их правах в отношении собранных данных.

Марокко

Закон Марокко о защите данных определяет персональные данные как любую информацию любого характера, которая может идентифицировать отдельное лицо. Чтобы собирать или обрабатывать какие-либо личные данные, они должны быть для определенной цели, и вы должны получить явное согласие пользователя, прежде чем собирать их, если только данные уже не были опубликованы этим лицом.

Для того, чтобы их согласие было действительным, вам необходимо сообщить человеку свою личность, цель сбора данных и его права в отношении собственных данных.

Национальная комиссия по защите личных данных, созданная в 2010 году, проводит расследования и запросы, связанные с законами о конфиденциальности. Нарушение закона может караться штрафом или даже тюремным заключением.

Нидерланды

В Нидерландах Закон о защите личных данных Нидерландов гласит, что вы должны получить недвусмысленное согласие пользователя перед сбором или обработкой любой информации, которая идентифицирует его лично.

Новая Зеландия

В соответствии с Законом Новой Зеландии о конфиденциальности 1993 года, вы должны собирать любую личную информацию, не являющуюся общедоступной, непосредственно от человека и убедиться, что оно знает ваше имя и адрес, цель сбора данных, всех получателей этих данных, требуется ли сбор по закону или необязательно, а также их права в отношении собственных данных.

Любой пользователь может подать жалобу и, возможно, инициировать расследование того, соблюдаете ли вы закон при сборе его личных данных.

Норвегия

Закон Норвегии о персональных данных гласит, что сбор персональных данных возможен только после получения согласия пользователя. Прежде чем запрашивать согласие, вам необходимо сообщить им свое имя и адрес, цель сбора данных, будут ли данные раскрыты третьим лицам и их личности, тот факт, что их участие является добровольным, а также их права в соответствии с законом. .

Филиппины

Филиппины известны тем, что имеют «одно из самых жестких законов о конфиденциальности данных в регионе». На Филиппинах любой, кто собирает персональные данные, должен сначала получить конкретное и осознанное согласие пользователя. Вы должны заявить о цели обработки данных до того, как начнете их сбор (или как можно скорее после этого).

В соответствии с Законом Республики № 10173 люди имеют право знать вашу личность, какие личные данные вы собираете и с какой целью, как они обрабатываются, кому они раскрываются, и все свои права в отношении их собственных данных.

Румыния

В Румынии закон гласит, что вы должны информировать пользователей об их правах при сборе любых личных данных, включая их имя. Вам также необходимо заранее получить их «явное и недвусмысленное согласие».

Польша

Закон Польши о защите личных данных, принятый в 1997 году, гласит, что обработка данных разрешена только в том случае, если субъект данных дал свое согласие. Вы также обязаны указать свое имя и адрес, цель сбора данных, других получателей данных, права субъекта и указать, является ли участие обязательным или добровольным.

Португалия

В соответствии с Законом Португалии о защите личных данных обработка данных должна осуществляться прозрачным образом с соблюдением конфиденциальности ваших пользователей. Персональные данные могут быть собраны только для конкретных и законных целей и только после получения однозначного согласия пользователя. Вы также должны предоставить пользователю конкретную информацию, включая вашу личность, цель обработки данных, любых других получателей данных и т. Д.

Сингапур

В Сингапуре личные данные защищены Законом о защите личных данных. Согласно закону, вы можете собирать личные данные только с согласия физического лица, и это лицо должно быть проинформировано о цели сбора данных.

Словения

Закон о защите личных данных Словении гласит, что вы должны получить информированное согласие физического лица перед сбором или обработкой его личных данных. Чтобы их согласие было действительным, вам необходимо сообщить им свою личность и цель сбора данных.Вам также необходимо сообщить им любую другую информацию, необходимую для обеспечения законной и справедливой обработки их данных.

Южная Африка

Закон Южной Африки об электронных сообщениях и транзакциях применяется к любым личным данным, собранным посредством электронных транзакций, например, через веб-сайт. Закон устанавливает девять принципов, с которыми вы должны согласиться, чтобы собирать какие-либо личные данные, а также требует, чтобы вы в письменной форме раскрыли субъекту конкретную цель сбора данных и получили его явное согласие перед сбором их данных.

Южная Корея

В Южной Корее Закон о содействии использованию информационно-коммуникационных сетей и защите данных гласит, что любой поставщик информационных и коммуникационных услуг должен получить согласие пользователя перед сбором личной информации. Чтобы согласие было действительным, вы должны предоставить пользователю конкретную информацию, включая ваше имя и контактную информацию, цель сбора данных и права пользователя в отношении их собственных данных.

Рамочный закон о телекоммуникациях дает определение «поставщиков информационных и коммуникационных услуг» как «услуг, которые обеспечивают связь третьей стороны через телекоммуникационные средства и оборудование или предоставляют телекоммуникационные средства и оборудование для телекоммуникаций третьей стороны».

Испания

В Испании защита личных данных считается конституционным правом. Чтобы собрать какие-либо личные данные, вам необходимо предоставить пользователю «справедливую информацию об обработке», включая вашу личность и адрес, цель обработки данных, их права в соответствии с законом, является ли участие добровольным или обязательным, а также любые последствия для не предоставлять свои личные данные.

Швейцария

Федеральный закон

Швейцарии о защите данных гласит, что любой сбор или обработка персональных данных должны осуществляться добросовестно и должны быть очевидны для пользователя, особенно цель сбора данных. Другими словами, вы должны сообщить пользователю, что собираете его личные данные и почему. Персональные данные определяются как «вся информация, относящаяся к идентифицированному или идентифицируемому лицу».

Швеция

В Швеции Закон о личных данных защищает конфиденциальность информации, позволяющей установить личность, которую он в общих чертах определяет как любые данные, которые прямо или косвенно относятся к живому человеку.В нем говорится, что пользователи имеют право на информацию, касающуюся обработки их личных данных, и что они должны дать согласие, прежде чем вы сможете собирать их данные. Согласие должно быть информированным, добровольным, конкретным и недвусмысленным.

Любой, кто нарушает закон, может быть подвергнут штрафу или даже быть приговорен к уголовному наказанию.

Тайвань

Закон о защите персональных данных, обрабатываемых компьютером, на Тайване относится к определенным видам персональных данных, включая имя человека, дату рождения, «социальную активность» и любые другие данные, позволяющие идентифицировать этого человека.Сбор данных должен осуществляться добросовестно и с учетом прав человека. Любая организация, собирающая личные данные, должна опубликовать документ, который включает конкретную информацию, включая их имя и адрес, цель и методы сбора данных, а также любых других получателей данных.

США

В Соединенных Штатах конфиденциальность данных не так строго регламентирована на федеральном уровне, как в большинстве других стран в этом списке. Как и во многих других вопросах, федеральное правительство оставляет множество деталей на усмотрение каждого штата.Законы также различаются в зависимости от отрасли, что приводит к путанице правил и положений для навигации владельцев веб-сайтов в США.

FTC (Федеральная торговая комиссия) регулирует законы о конфиденциальности бизнеса. Они не требуют политики конфиденциальности как таковой, но запрещают обманные действия.

Некоторые федеральные законы, касающиеся конфиденциальности данных, включают Закон 1996 года о переносимости и подотчетности медицинского страхования (HIPPA), который касается информации, связанной со здоровьем, и Правило защиты конфиденциальности детей в Интернете (COPPA), которое применяется к веб-сайтам, которые собирают данные из детям до 13 лет.В некоторых штатах действуют более строгие законы, чем в других, например, Закон Калифорнии о защите конфиденциальности в Интернете (CalOPPA), который является первым законом в Соединенных Штатах, который прямо требует, чтобы веб-сайты публиковали Политику конфиденциальности.

CalOPPA фактически применяется не только к веб-сайтам, базирующимся в Калифорнии, но и ко всем веб-сайтам, которые собирают персональные данные от потребителей, проживающих в Калифорнии. Имея это в виду, владельцы веб-сайтов в Соединенных Штатах могут проявлять осторожность, чтобы случайно не столкнуться с юридическими проблемами.

CalOPPA требует, чтобы каждый веб-сайт, собирающий личные данные пользователей, опубликовал политику конфиденциальности, которая включает:

  • Тип собираемых персональных данных
  • Любые третьи лица, с которыми вы делитесь данными.
  • Как пользователи могут просматривать и изменять свои данные, собранные вами
  • Как вы будете информировать пользователей об изменениях в вашей Политике конфиденциальности
  • Дата вступления в силу вашей Политики конфиденциальности
  • Как вы будете отвечать на запросы Do Not Track

Если есть вероятность, что вы будете собирать личные данные от кого-либо в Калифорнии, лучше всего соблюдать этот закон, создав точную политику конфиденциальности.

Несколько дополнительных законов, о которых следует знать в США, включают Закон штата Калифорния о конфиденциальности потребителей (CCPA) и Закон штата Вашингтон о конфиденциальности (WPA).

Соединенное Королевство

В Великобритании миссия Офиса Комиссара по информации состоит в том, чтобы «защищать права на информацию в общественных интересах».

Закон о защите данных требует справедливой обработки личных данных, что означает, что вы должны быть прозрачными в отношении того, почему вы собираете личные данные и как вы собираетесь их использовать.Закон также гласит, что если вы используете файлы cookie браузера, вам необходимо четко объяснить, что они делают и почему вы их используете, а также получить осознанное согласие ваших пользователей.

Может показаться излишним создание полной Политики конфиденциальности, если вы просто собираете имена и адреса электронной почты для своего ежемесячного информационного бюллетеня, но в Эру информации важно уважать важность личных данных и права на конфиденциальность вашего веб-сайта. пользователей. Прозрачность в том, как вы собираете и защищаете данные, не только убережет вас от проблем с законом, но и поможет установить доверительные отношения с вашей аудиторией.

Лучшее, что вы можете сделать, чтобы соответствовать практически любому закону о конфиденциальности, - это разместить на своем веб-сайте или в мобильном приложении прозрачную и информативную Политику конфиденциальности, чтобы ее можно было легко читать и обновлять.

Персональные данные | Общий регламент по защите данных (GDPR)

Термин «персональные данные» - это начало применения Общего регламента по защите данных (GDPR). Только если обработка данных касается личных данных, применяются Общие правила защиты данных.Термин определен в ст. 4 (1). Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Субъекты данных поддаются идентификации, если они могут быть прямо или косвенно идентифицированы, особенно посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или одну из нескольких специальных характеристик, которые выражают физические, физиологические, генетическая, ментальная, коммерческая, культурная или социальная идентичность этих физических лиц.На практике они также включают в себя все данные, которые каким-либо образом назначены или могут быть присвоены человеку. Например, телефон, кредитная карта или личный номер человека, данные учетной записи, номерной знак, внешний вид, номер клиента или адрес - все это личные данные.

Поскольку определение включает «любую информацию», следует предположить, что термин «личные данные» следует толковать как можно более широко. Это также предлагается в прецедентном праве Европейского суда, который также рассматривает менее явную информацию, такую ​​как записи рабочего времени, которые включают информацию о времени, когда сотрудник начинает и заканчивает свой рабочий день, а также перерывы или время, в которое не попадают в рабочее время, как личные данные.Кроме того, письменные ответы кандидата во время теста и любые замечания экзаменатора относительно этих ответов являются «личными данными», если кандидата можно теоретически идентифицировать. То же самое относится и к IP-адресам. Если у контролера есть законная возможность обязать поставщика передать дополнительную информацию, которая позволяет ему идентифицировать пользователя по IP-адресу, это также личные данные. Кроме того, необходимо отметить, что личные данные не обязательно должны быть объективными. Субъективная информация, такая как мнения, суждения или оценки, может быть личными данными.Таким образом, это включает оценку кредитоспособности человека или оценку выполнения работы работодателем.

И последнее, но не менее важное: в законе говорится, что информация для справки о персонале должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как корпорации, фонды и учреждения. С другой стороны, для физических лиц защита начинается и прекращается с дееспособностью. По сути, человек получает эту способность с рождением и теряет ее после смерти.Следовательно, данные должны быть присвоены идентифицированным или идентифицируемым живым лицам, чтобы считаться личными.

В дополнение к общим персональным данным необходимо учитывать прежде всего особые категории персональных данных (также известные как конфиденциальные персональные данные), которые имеют большое значение, поскольку они подлежат более высокому уровню защиты. Эти данные включают генетические, биометрические данные и данные о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах.

Внешние ссылки

Органы власти

  • Европейский надзорный орган по защите данных ► Меры безопасности при обработке персональных данных (ссылка)
  • Управление по защите данных Остров Мэн ► Знайте свои данные - нанесение на карту 5 W (ссылка)
  • Data Protection Authority UK ► Ключевые определения (Ссылка)
  • Европейская комиссия ► Что такое личные данные? (Ссылка)
  • Европейская комиссия ► Какие личные данные считаются конфиденциальными? (Ссылка)
  • Публикации ЕС ► Справочник по европейскому законодательству о защите данных - Персональные данные, стр. 83 (Ссылка)

Экспертный вклад

  • A&L Goodbody ► GDPR: Руководство для бизнеса - Определение личных и конфиденциальных данных, стр. 8 (Ссылка)
  • Bird & Bird ► Конфиденциальные данные и законная обработка (Ссылка)

Практическое руководство по законам о конфиденциальности данных по странам

В США нет единого всеобъемлющего законодательства о конфиденциальности данных.S. Вместо этого страна придерживается секторального подхода к конфиденциальности данных, полагаясь на лоскутное одеяло из отраслевых законов и законов штата.

Фактически, США полагаются на «сочетание законодательства, регулирования и саморегулирования», а не только на вмешательство государства. Существует около 20 отраслевых или отраслевых федеральных законов и более 100 законов о конфиденциальности на уровне штата (фактически, только в Калифорнии существует 25 законов о конфиденциальности).

Закон Калифорния о конфиденциальности потребителей (CCPA) дает жителям Калифорнии четыре права, которые дают им больше полномочий в отношении своих личных данных: право на уведомление, право на доступ, право выбора (или отказа) и право на равные услуги.Любая организация, которая собирает персональные данные жителей Калифорнии, а не только предприятия, расположенные в штате, должна соблюдать CCPA. Подробнее о соблюдении CCPA читайте здесь .

1 января 2023 года в Вирджинии вступит в силу Закон о защите данных потребителей (CDPA). По закону компании, ведущие бизнес в штате, должны получать разрешение от пользователей на обработку своих данных. Это также дает потребителям право просматривать, получать, удалять и исправлять свои данные.В отличие от CCPA, компании должны разрешить резидентам отказаться от участия только в том случае, если они будут продавать данные для получения финансовой выгоды. Подробнее о CDPA здесь .

Наиболее известные национальные законы включают Закон о конфиденциальности 1974 г., Закон о защите конфиденциальности 1980 г., Закон Грэмма-Лича-Блайли 1999 г., Закон 1996 г. о переносимости и подотчетности медицинского страхования, Закон о справедливой кредитной отчетности 2018 г.

Соблюдение нормативных требований - это только часть головоломки по защите данных.Загрузите эту шпаргалку, чтобы увидеть 6 других шагов по устранению утечки данных .

У США также есть специальные соглашения о защите конфиденциальности как с ЕС, так и со Швейцарией.

Для доп. Информации:

Что такое GDPR? Все, что вам нужно знать о новых общих правилах защиты данных

Что означает GDPR?

GDPR расшифровывается как General Data Protection Regulation.Это основа европейского законодательства о конфиденциальности в области цифровых технологий.

Как это произошло?

В январе 2012 года Европейская комиссия изложила планы реформы защиты данных во всем Европейском союзе, чтобы сделать Европу «пригодной для цифровой эпохи». Почти четыре года спустя было достигнуто соглашение о том, в чем дело и как это будет реализовано.

SEE: Данные моей украденной кредитной карты были использованы на расстоянии 4500 миль. Я попытался выяснить, как это произошло (обложка PDF) (TechRepublic)

Одним из ключевых компонентов реформ является введение Общего регламента защиты данных (GDPR).Эта новая структура ЕС применяется к организациям во всех государствах-членах и имеет значение для предприятий и частных лиц по всей Европе и за ее пределами.

«Цифровое будущее Европы можно построить только на доверии. При наличии твердых общих стандартов защиты данных люди могут быть уверены, что они контролируют свою личную информацию», - сказал Андрус Ансип, вице-президент по Единому цифровому рынку. говоря, когда реформы были согласованы в декабре 2015 года.

Что такое GDPR?

По своей сути GDPR - это новый набор правил, призванный предоставить гражданам ЕС больший контроль над своими личными данными.Он направлен на упрощение нормативной среды для бизнеса, чтобы как граждане, так и бизнес в Европейском союзе могли в полной мере воспользоваться преимуществами цифровой экономики.

Реформы призваны отразить мир, в котором мы живем сейчас, и вводят законы и обязательства - в том числе в отношении личных данных, конфиденциальности и согласия - по всей Европе в соответствии с требованиями эпохи подключения к Интернету.

По сути, почти каждый аспект нашей жизни вращается вокруг данных. От компаний, работающих в социальных сетях, до банков, розничных продавцов и правительств - почти все услуги, которые мы используем, включают сбор и анализ наших личных данных.Ваше имя, адрес, номер кредитной карты и многое другое - все это собирается, анализируется и, что, возможно, наиболее важно, хранится организациями.

Что такое соответствие GDPR?

Утечки данных неизбежны. Информация теряется, крадется или иным образом передается в руки людей, которые никогда не собирались ее видеть - и эти люди часто имеют злой умысел.

Согласно условиям GDPR, организации не только должны гарантировать, что личные данные собираются на законных основаниях и на строгих условиях, но и те, кто собирает и обрабатывает их, обязаны защищать их от неправомерного использования и эксплуатации, а также уважать права владельцев данных - или понесут штрафы за невыполнение этого требования.

На кого распространяется GDPR?

GDPR применяется к любой организации, действующей в ЕС, а также к любым организациям за пределами ЕС, которые предлагают товары или услуги клиентам или предприятиям в ЕС. В конечном итоге это означает, что почти каждой крупной корпорации в мире нужна стратегия соблюдения GDPR.

Законодательство применяет два разных типа обработчиков данных: «процессоры» и «контроллеры». Определения каждого из них изложены в статье 4 Общего регламента по защите данных.

SEE: Соответствует GDPR? Вот удобный контрольный список из пяти этапов подготовки.

Контроллер - это «лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных», а обработчик - это «лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера». Например, если вы подпадаете под действие Закона Великобритании о защите данных, вам, вероятно, также потребуется соответствовать GDPR.

«Вы будете нести значительно большую юридическую ответственность, если несете ответственность за нарушение. Эти обязательства для процессоров являются новым требованием в соответствии с GDPR», - сообщает Управление уполномоченных по информации Великобритании, орган, ответственный за регистрацию контроллеров данных, принимая меры в отношении данных. защита и обработка проблем и неправильного обращения с данными.

GDPR в конечном итоге налагает юридические обязательства на обработчика данных по ведению записей личных данных и способов их обработки, обеспечивая гораздо более высокий уровень юридической ответственности в случае нарушения организации.

Контроллеры также обязаны обеспечивать соответствие всех контрактов с обработчиками GDPR.

Общие правила защиты данных: что это значит для вас?

Изображение: iStock

Что такое личные данные согласно GDPR?

Типы данных, которые в соответствии с действующим законодательством считаются личными, включают имя, адрес и фотографии. GDPR расширяет определение личных данных, так что что-то вроде IP-адреса может быть личными данными.Он также включает конфиденциальные личные данные, такие как генетические данные и биометрические данные, которые могут быть обработаны для однозначной идентификации человека.

Когда вступил в силу GDPR?

После четырех лет подготовки и обсуждения GDPR был одобрен Европейским парламентом в апреле 2016 года, а официальные тексты и постановление директивы были опубликованы на всех официальных языках ЕС в мае 2016 года. Закон вступил в силу по всему Европейскому Союзу 25 мая 2018 г.

GDPR вступает в силу 25 мая 2018 года.

Изображение: iStock

Каков крайний срок соблюдения GDPR?

Ожидается, что с 25 мая 2018 года все организации будут соответствовать GDPR.

Как Brexit влияет на GDPR?

Великобритания в настоящее время собирается покинуть Европейский Союз 31 октября 2019 года. Правительство Великобритании заявило, что это не повлияет на соблюдение GDPR в стране, и что GDPR будет работать на благо Великобритании, несмотря на то, что страна перестает действовать. быть членом ЕС.Таким образом, Brexit вряд ли окажет какое-либо влияние на требования организации по соблюдению GDPR.

Что означает GDPR для бизнеса?

GDPR устанавливает единый закон на всем континенте и единый набор правил, которые применяются к компаниям, ведущим бизнес в странах-членах ЕС. Это означает, что действие законодательства выходит за пределы границ самой Европы, поскольку международные организации, базирующиеся за пределами региона, но осуществляющие деятельность на «европейской земле», все равно должны будут соблюдать.

Одна из надежд заключается в том, что упрощение законодательства о данных с помощью GDPR может принести пользу предприятиям. Европейская комиссия утверждает, что наличие единого надзорного органа для всего ЕС упростит и удешевит работу предприятий в регионе. Комиссия утверждает, что GDPR сэкономит 2,3 миллиарда евро в год в Европе.

«Унифицируя европейские правила защиты данных, законодатели создают возможности для бизнеса и поощряют инновации», - заявляет Комиссия.

SEE: Общий регламент ЕС по защите данных (GDPR): шпаргалка (TechRepublic)

Они говорят, что это означает, что регулирование гарантирует, что меры защиты данных встроены в продукты и услуги с самого раннего этапа разработки, обеспечивая «защита данных с помощью дизайна» в новых продуктах и ​​технологиях.

Организациям также рекомендуется применять такие методы, как «псевдонимизация», чтобы получать выгоду от сбора и анализа личных данных, в то же время защищая конфиденциальность их клиентов.(Хотя некоторые группы утверждают, что это уже слишком поздно, учитывая количество подключенных устройств в мире.)

Что означает GDPR для потребителей / граждан?

Из-за огромного количества случаев утечки данных и взломов, печальная реальность для многих состоит в том, что некоторые из их данных - будь то адрес электронной почты, пароль, номер социального страхования или конфиденциальные медицинские записи - были раскрыты на Интернет.

Одним из основных изменений GDPR является предоставление потребителям права знать, когда их данные были взломаны.Организации должны как можно скорее уведомить соответствующие национальные органы, чтобы граждане ЕС могли принять соответствующие меры для предотвращения злоупотребления их данными.

Потребителям также обещан более легкий доступ к их личным данным с точки зрения того, как они обрабатываются, а организациям необходимо четко и понятно подробно описать, как они используют информацию о клиентах.

Некоторые организации уже переместились, чтобы убедиться, что это так, даже если это так просто, как отправка клиентам электронных писем с информацией о том, как используются их данные, и предоставление им возможности отказаться, если они не дадут свое согласие часть этого.Многие организации, например, в секторах розничной торговли и маркетинга, связались с клиентами, чтобы спросить, хотят ли они быть частью их базы данных.

В этих обстоятельствах у клиента должен быть простой способ отказаться от включения своих данных в список рассылки. Между тем, некоторые другие секторы были предупреждены о том, что им нужно сделать гораздо больше, чтобы обеспечить соблюдение GDPR, особенно когда речь идет о согласии.

GDPR также вводит уточненный процесс «право на забвение», который предоставляет дополнительные права и свободы людям, которые больше не хотят, чтобы их личные данные обрабатывались для их удаления, при условии, что нет оснований для их сохранения.

Организации должны помнить об этих правах потребителей.

Действительно ли это письмо о конфиденциальности отправлено реальной компанией? Неужели это жульничество?

Организациям любого размера из всех секторов рассылаются электронные письма клиентам с просьбой согласиться на получение сообщений и других маркетинговых материалов. По большей части, если клиент действительно хочет оставаться в списке, ему просто нужно щелкнуть ту часть электронного письма, которая сообщает компании, что он хочет оставаться на связи.

Однако, когда так много организаций рассылают электронные письма по GDPR, преступники и мошенники использовали это как отличную возможность для рассылки фишинговых писем, чтобы поймать людей, не имеющих программного обеспечения, особенно с учетом того, что люди получали больше писем от организаций, чем обычно.

Исследователи Redscan раскрыли одну из этих схем, в которой преступники выдают себя за Airbnb и утверждают, что пользователь не сможет принимать новые бронирования или отправлять сообщения потенциальным гостям, пока не будет принята новая политика конфиденциальности.Злоумышленники конкретно упоминают новую политику конфиденциальности ЕС в качестве причины отправки сообщения.

Однако те, кто стоял за этой схемой, очень сильно использовали GDPR для кражи информации, потому что, хотя настоящее сообщение Airbnb не запрашивало никакой информации, у тех, кто получил поддельное сообщение, запрашивается их личная информация, включая учетные данные и информация о платежной карте.

Это вряд ли единственная попытка преступников использовать GDPR для собственной выгоды.

Что такое уведомление о нарушении GDPR?

GDPR устанавливает обязанность всех организаций сообщать об определенных типах утечек данных, которые включают несанкционированный доступ или потерю персональных данных в соответствующий надзорный орган. В некоторых случаях организации также должны информировать лиц, пострадавших от нарушения.

Организации обязаны сообщать о любых нарушениях, которые могут привести к риску для прав и свобод людей и привести к дискриминации, ущербу репутации, финансовым потерям, потере конфиденциальности или любому другому экономическому или социальному ущербу.

Если данные клиента будут взломаны хакерами, организация будет обязана сообщить об этом.

Изображение: iStock

Другими словами, если имя, адрес, данные о рождении, медицинские записи, банковские реквизиты или какие-либо личные или личные данные о клиентах были нарушены, организация обязана сообщить об этом пострадавшим, а также соответствующему регулирующему органу, чтобы сделать все возможное. можно сделать, чтобы ограничить ущерб.

Это необходимо сделать с помощью уведомления о нарушении, которое должно быть доставлено непосредственно жертвам. Эта информация не может быть передана только в пресс-релизе, в социальных сетях или на веб-сайте компании. Это должна быть личная переписка с пострадавшими.

Выступая в апреле 2019 года, участники ICO хотели уточнить, когда организациям следует сообщать о нарушениях и как это сделать. «Важно, чтобы организации понимали, чего ожидать в случае нарушения кибербезопасности», - сказал заместитель комиссара ICO по операциям Джеймс Диппл-Джонстон.

В соответствии с GDPR, когда организации необходимо уведомить о нарушении?

О нарушении необходимо сообщить в соответствующий надзорный орган в течение 72 часов после того, как организация впервые узнала о нем. Между тем, если нарушение является достаточно серьезным, чтобы уведомить клиентов или общественность, законодательство GDPR гласит, что клиенты должны нести ответственность без «неоправданной задержки».

Какие штрафы предусмотрены GDPR за несоблюдение?

Несоблюдение GDPR может привести к штрафу в размере от 10 миллионов евро до четырех процентов годового глобального оборота компании, что для некоторых может означать миллиарды.

Штрафы зависят от серьезности нарушения и от того, насколько серьезно компания соблюдает соблюдение нормативных требований в отношении безопасности.

Максимальный штраф в размере 20 миллионов евро или четырех процентов от мирового оборота - в зависимости от того, что больше - за нарушение прав субъектов данных, несанкционированную международную передачу личных данных, а также отсутствие процедур или игнорирование доступа субъектов. запросы на их данные.

Меньший штраф в размере 10 миллионов евро или двух процентов мирового оборота будет применяться к компаниям, которые иным образом неправильно обрабатывают данные. К ним относятся, помимо прочего, отказ от сообщения об утечке данных, неспособность обеспечить конфиденциальность по дизайну и обеспечение защиты данных на первом этапе проекта и соблюдение требований путем назначения сотрудника по защите данных - если организация быть одним из требований GDPR.

Какие на сегодняшний день самые большие штрафы GDPR?

По состоянию на май 2019 года самый крупный штраф в размере 50 миллионов евро на сегодняшний день составляет 50 миллионов евро.Французская организация по надзору за защитой данных CNIL оштрафовала Google в январе после того, как пришла к выводу, что гигант поисковых систем нарушает правила GDPR в отношении прозрачности и наличия действующей правовой основы при обработке данных людей в рекламных целях. Google обжалует штраф.

До штрафа Google самый крупный штраф GDPR составлял 400 000 евро, когда португальская больница была оштрафована за «несовершенные» методы управления счетами.

Вполне вероятно, что впереди еще много штрафов, поскольку надзорные органы по защите данных по всей Европе в настоящее время расследуют тысячи дел.

По состоянию на май 2019 года Google является получателем крупнейшего штрафа GDPR - в январе 2019 года французская служба по защите данных оштрафовала на 50 млн евро.

iStockPhoto / Getty Images

Что содержится в уведомлении о нарушении GDPR?

В случае потери данных компанией, будь то в результате кибератаки, человеческой ошибки или чего-либо еще, компания обязана отправить уведомление о нарушении.

Это должно включать приблизительные данные о нарушении, в том числе категории информации и количество лиц, скомпрометированных в результате инцидента, а также категории и приблизительное количество соответствующих записей личных данных. Последний учитывает, как может быть несколько наборов данных, относящихся только к одному человеку.

Организациям также необходимо предоставить описание потенциальных последствий утечки данных, таких как кража денег или мошенничество с использованием личных данных, и описание мер, которые принимаются для борьбы с утечкой данных и противодействия любым негативным воздействиям. с которыми могут столкнуться люди.

Также необходимо предоставить контактные данные сотрудника по защите данных или основного контактного лица, занимающегося нарушением.

Нужно ли нам назначать сотрудника по защите данных?

Согласно условиям GDPR, организация должна назначить сотрудника по защите данных (DPO), если она выполняет крупномасштабную обработку особых категорий данных, осуществляет крупномасштабный мониторинг отдельных лиц, например отслеживание поведения, или является государственным органом. .

В случае государственных органов, один DPO может быть назначен в группе организаций.Хотя организациям, не указанным выше, необязательно назначать DPO, все организации должны убедиться, что у них есть навыки и персонал, необходимые для соблюдения законодательства GDPR.

SEE: GDPR доказывает, что технологических гигантов можно приручить

Нет установленных критериев того, кто должен быть DPO или какую квалификацию они должны иметь, но, согласно Управлению комиссара по информации, они должны иметь профессиональный опыт и закон о защите данных пропорционально тому, что выполняет организация.

Неспособность назначить сотрудника по защите данных, если это требуется в соответствии с GDPR, может считаться несоблюдением и повлечь за собой штраф.

Как выглядит соответствие GDPR?

GDPR может показаться сложным, но правда в том, что по большей части законодательство консолидирует принципы, которые в настоящее время являются частью Закона Великобритании о защите данных.

Тем не менее, есть элементы GDPR, такие как уведомление о нарушении и обеспечение того, чтобы кто-то отвечал за защиту данных, которые организации должны решить, или рискуют наложить штраф.

Не существует универсального подхода к подготовке к GDPR. Скорее, каждая компания должна знать, что именно необходимо достичь, чтобы соответствовать требованиям, и кто является контролером данных, который взял на себя ответственность за обеспечение этого.

«Ожидается, что вы введете комплексные, но соразмерные меры управления», - говорится в сообщении ICO Великобритании. «В конечном итоге эти меры должны свести к минимуму риск взлома и обеспечить защиту личных данных. На практике это, вероятно, означает большее количество политик и процедур для организаций, хотя многие организации уже имеют меры надлежащего управления."

SEE: Будет ли GDPR защищать граждан ЕС? 61% специалистов в области информационной безопасности говорят" да "(TechRepublic)

Это может быть обязанностью отдельного лица в малом бизнесе или даже целого отдела в многонациональной корпорации. Либо Таким образом, для того, чтобы это работало, необходимо учитывать бюджеты, системы и персонал

В соответствии с положениями GDPR, которые способствуют подотчетности и управлению, компаниям необходимо принимать соответствующие технические и организационные меры.Сюда могут входить положения о защите данных (обучение персонала, внутренний аудит операций по обработке и анализ кадровой политики), а также ведение документации по деятельности по обработке. Другая тактика, на которую могут обратить внимание организации, включает минимизацию данных и псевдонимизацию или предоставление людям возможности контролировать обработку, говорится в сообщении ICO.

При подготовке к GDPR такие органы, как ICO, предложили общие рекомендации о том, что следует учитывать. Все организации должны убедиться, что они выполнили все необходимые оценки воздействия и соответствуют требованиям GDPR, в противном случае они рискуют нарушить новые директивы.

GDPR здесь, и что теперь?

С 25 мая 2018 года GDPR вступил в силу, и за несколько дней и недель до этого наблюдалось увеличение количества компаний, отправляющих электронные письма клиентам с просьбой принять участие в новой политике конфиденциальности и согласия. В первые 24 часа электронные письма приходили настолько объемно и быстро, что многие пользователи Интернета чувствовали себя ошеломленными.

В последнее время некоторые организации и платформы, в том числе сайт Klout, занимающийся оценкой сайтов в социальных сетях, просто прекратили работу - Klout явно не указал на GDPR, но дата 25 мая, вероятно, не случайна.Это не единственная служба, которая закрывает работу или ограничивает доступ для европейских пользователей.

европейских пользователей, которые посетили известные новостные веб-сайты США, такие как The LA Times, The Chicago Times и The Baltimore Sun утром 25 мая, обнаружили, что они не могут получить доступ к веб-сайтам, при этом издатели указали на GDPR как причина.

«К сожалению, наш веб-сайт в настоящее время недоступен в большинстве европейских стран. Мы занимаемся этим вопросом и стремимся рассмотреть варианты, которые поддерживают весь спектр наших цифровых предложений на рынке ЕС», - говорится в заявлении на веб-сайте Chicago Tribune. .

Аналогичные заявления были размещены в новостных изданиях, управляемых группами Lee Enterprises и Tronc, и в течение года многие из этих публикаций по-прежнему отображают то же сообщение для европейских пользователей, которые пытаются посетить эти сайты.

Отказ пользователей в доступе к продуктам - по крайней мере, на данный момент - рассматривается многими как цена, которую стоит заплатить, чтобы избежать возможных штрафов. Хотя некоторые зададут вопрос, что они делают с пользовательскими данными и какое согласие у них есть?

Что изменилось в GDPR с момента его введения?

По состоянию на май 2019 года многие из этих проблем с издателями в США все еще не были решены, и подобные Tronc по-прежнему приносят те же извинения пользователям в Европе.

Издатели - не единственные организации, которым приходится смириться с новой реальностью, поскольку некоторые из крупнейших технологических компаний, включая Facebook, заявляют, что они начали чувствовать укус GDPR. Социальная сеть обвинила GDPR в сокращении примерно на миллион пользователей в месяц во втором квартале года, а также в падении роста доходов от рекламы в Европе.

Организации любого размера в той или иной степени пострадали от этого. Аналитики Forrester говорят, что многие компании сообщают о сокращении от 25% до 40% своего адресного рынка электронной почты и других форм контактов.

В результате многим компаниям приходится задумываться о новых методах привлечения потребителей и получения доходов. Аналитик Gartner предположил, что некоторым компаниям, возможно, придется пересмотреть свою стратегию центров обработки данных в результате принятия такого законодательства, как GDPR.

За год, прошедший с момента введения GDPR, некоторые из крупнейших мировых технологических компаний попытались позиционировать свои продукты как ориентированные на конфиденциальность - стратегия, которая, вероятно, отчасти возникла из-за повышения осведомленности о конфиденциальности и согласии.

Генеральный директор Apple Тим Кук призвал США ввести эквивалент GDPR, чтобы предотвратить использование данных в качестве оружия против пользователей. Между тем, генеральный директор Facebook Марк Цукерберг недавно рассказал о том, как конфиденциальность будет в будущем Facebook - хотя он сам признает, что некоторым может быть трудно в это поверить.

Что будет дальше с GDPR и защитой данных?

Страны и регионы по всему миру, похоже, ориентируются на GDPR, вводя или изменяя законодательство о защите данных.Страны, которые сообщили, что изменят свои законы о конфиденциальности после введения GDPR, включают Бразилию, Японию, Южную Корею, Индию и другие.

Кремниевая долина, Калифорния, также собирается ввести свои собственные законы о конфиденциальности данных в Законе о конфиденциальности потребителей Калифорнии, который вступает в силу с 1 января 2020 года.

Законодательство следует по стопам GDPR, разрешая физическим лицам иметь больше говорят о том, как используются их личные данные, но во многих отношениях это далеко не так: нет установленного срока для уведомления потребителей о нарушении, и организации не будут подвергаться штрафам за несоблюдение.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *