Федеральный закон о защите персональных данных последняя редакция: Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция)

Содержание

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения / КонсультантПлюс

Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

(введена Федеральным законом от 30.12.2020 N 519-ФЗ)

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Редакция от 02.07.2021 / КонсультантПлюс

Редакция подготовлена на основе изменений, внесенных Федеральным законом от 02.07.2021 N 331-ФЗ. См. справку к редакции.

─────────────────────────────────────────────────────────────────────────

Изменение пункта 9. 1 части 1 статьи 6

старая редакция новая редакция

9.1) обработка персональных 9.1) обработка персональных

данных, полученных в результате данных, полученных в результате

обезличивания персональных данных, обезличивания персональных данных,

осуществляется в целях повышения осуществляется в целях повышения

эффективности государственного или эффективности государственного или

муниципального управления, а также муниципального управления, а также

в иных целях, предусмотренных в иных целях, предусмотренных

Федеральным законом «О проведении Федеральным законом от 24 апреля

эксперимента по установлению 2020 года N 123-ФЗ «О проведении

специального регулирования в целях эксперимента по установлению

создания необходимых условий для специального регулирования в целях

разработки и внедрения технологий создания необходимых условий для

искусственного интеллекта в разработки и внедрения технологий

субъекте Российской Федерации — искусственного интеллекта в

городе федерального значения субъекте Российской Федерации —

Москве и внесении изменений в городе федерального значения

статьи 6 и 10 Федерального закона Москве и внесении изменений в

«О персональных данных», в порядке статьи 6 и 10 Федерального закона

и на условиях, которые «О персональных данных» и

предусмотрены указанным Федеральным законом от 31 июля

Федеральным законом; 2020 года N 258-ФЗ «Об

экспериментальных правовых режимах

в сфере цифровых инноваций в

Российской Федерации», в порядке и

на условиях, которые предусмотрены

указанными федеральными законами;

Изменение части 2. 1 статьи 10

старая редакция новая редакция

2.1. Обработка персональных 2.1. Обработка персональных

данных, касающихся состояния данных, касающихся состояния

здоровья, полученных в результате здоровья, полученных в результате

обезличивания персональных данных, обезличивания персональных данных,

допускается в целях повышения допускается в целях повышения

эффективности государственного или эффективности государственного или

муниципального управления, а также муниципального управления, а также

в иных целях, предусмотренных в иных целях,

предусмотренных

Федеральным законом «О проведении Федеральным законом от 24 апреля

эксперимента по установлению 2020 года N 123-ФЗ «О проведении

специального регулирования в целях эксперимента по установлению

создания необходимых условий для специального регулирования в целях

разработки и внедрения технологий создания необходимых условий для

искусственного интеллекта в разработки и внедрения технологий

субъекте Российской Федерации — искусственного интеллекта в

городе федерального значения субъекте Российской Федерации —

Москве и внесении изменений в городе федерального значения

статьи 6 и 10 Федерального закона Москве и внесении изменений в

«О персональных данных», в порядке статьи 6 и 10 Федерального закона

и на условиях, которые «О персональных данных» и

предусмотрены указанным Федеральным законом от 31 июля

Федеральным законом. 2020 года N 258-ФЗ «Об

экспериментальных правовых режимах

в сфере цифровых инноваций в

Российской Федерации», в порядке и

на условиях, которые предусмотрены

указанными федеральными законами.

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Статья 1

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1¹ следующего содержания:

«1¹) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных. «;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

5) дополнить статьей 10¹ следующего содержания:

«Статья 10¹. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1) непосредственно;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;»;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10¹ настоящего Федерального закона;».

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской Федерации В. Путин

ФК «Зеленоград» выиграл первый матч предсезонного турнира

В Москве стартовал футбольный турнир «Зимний кубок президента Московской федерации футбола». Футболисты «Зеленограда» определены в группу «Б», где их соперниками стали команды «Красногвардеец», «Родина-2», «Рим», УОР №5 (Московская обл.), «Крылья Советов».

Первый матч зелено-белые проводили на стадионе «Борисовские Пруды» (район Москворечье-Сабурово) против «молодежки» «Красногвардейца». Стартовый состав «Зеленограда» намного превосходил оппонентов по среднему возрасту и совокупному игровому опыту. Лишь по причине низкой реализации моментов гости открыли счет в тот момент, когда миновала середина 1-го тайма. Гол Кирилла Шестакова получился эстетским: хавбек перебросил мяч через вратаря, слишком сильно сместившегося к ближней штанге. Второй мяч также забил Шестаков: с пенальти, назначенного за фол на Викторе Воробьеве. Под занавес тайма у подуставшей обороны «красных» случился сбой в своей штрафной, и Кирилл Бирюков после паса Дениса Гудаева пробил точно – 3:0.

На 58-й минуте «Зеленограду» удалась быстрая атака по центру, и Кирилл Семенов (заменивший Шестакова), при помощи Каретникова и Гудаева отправил мяч в пустые ворота. Гудаев помогал забивать мячи одноклубникам, а вот сам не реализовал ряд великолепных моментов, собрав коллекцию из попаданий в штанги и перекладины.

Долгое время оставался без гола форвард Михаил Каретников, у которого также было немало выходов на ударные позиции. Свой мяч он забил на 69-й минуте, вскоре после того, как «красные» смогли «размочить» счет.

По ходу 2-го тайма после проведенных замен состав «Зеленограда» омолодился. Вошли в игру три футболиста 2005 г.р., которая в сезоне-2022 будет старшей в СШ № 112 «Спутник». Один из них, Владислав Белозеров, на 76-й минуте заработал для команды пенальти, но Каретников пробил неточно. Впрочем, Каретников спустя несколько минут забил с игры гол, установивший итоговый счет 6:1 в пользу «Зеленограда».

Зелено-белые после первого тура возглавили свою группу. В двух других матчах «Рим» выиграл у «Родины-2» со счетом 6:4, а УОР № 5 победило «Крылья Советов» со счетом 2:0.

Во 2-м туре «Зеленоград» будет играть против команды «Рим».

Федеральный закон «О персональных данных» — Законы — Каталог статей

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона

Статья 2. Цель настоящего Федерального закона

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Статья 4. Законодательство Российской Федерации в области персональных данных

Глава 2. Принципы и условия обработки персональных данных

Статья 5. Принципы обработки персональных данных

Статья 6. Условия обработки персональных данных

Статья 7. Конфиденциальность персональных данных

Статья 8. Общедоступные источники персональных данных

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Статья 10. Специальные категории персональных данных

Статья 11. Биометрические персональные данные

Статья 12. Трансграничная передача персональных данных

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Глава 3. Права субъекта персональных данных

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

Статья 17. Право на обжалование действий или бездействия оператора

Глава 4. Обязанности оператора

Статья 18. Обязанности оператора при сборе персональных данных

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

Статья 22. Уведомление об обработке персональных данных

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

Глава 6. Заключительные положения

Статья 25. Заключительные положения

Состояние законов о конфиденциальности потребительских данных в США (и почему это важно)

Поскольку все больше вещей люди покупают с подключением к Интернету, все больше наших обзоров и рекомендаций в Wirecutter включают длинные разделы с подробным описанием функций конфиденциальности и безопасности такие продукты, все, от умных термостатов до фитнес-трекеров. Поскольку данные, которые собирают эти устройства, продаются и передаются, а также взламываются, принятие решения о том, какие риски вас устраивают, является необходимой частью осознанного выбора.И эти риски сильно различаются, отчасти потому, что не существует единого всеобъемлющего федерального закона, регулирующего сбор, хранение или обмен данными о клиентах в большинстве компаний.

Большая часть экономики данных, лежащей в основе обычных продуктов и услуг, невидима для покупателей. По мере того, как ваши данные передаются между бесчисленным количеством третьих лиц, появляется не только больше компаний, получающих прибыль от ваших данных, но и больше возможностей для утечки или взлома ваших данных таким образом, что причиняет реальный вред. Только за последний год мы видели, как новостное издание использовало псевдонимные данные приложения, предположительно просочившиеся от рекламодателя, связанного с приложением для знакомств Grindr, чтобы разоблачить священника.Мы читали о том, что правительство США покупает данные о местоположении у молитвенного приложения. Исследователи обнаружили, что приложения для лечения опиоидной зависимости обмениваются конфиденциальными данными. А в T-Mobile недавно произошла утечка данных, которая затронула как минимум 40 миллионов человек, у некоторых из которых даже никогда не было учетной записи T-Mobile.

«У нас есть эти компании, которые накапливают просто гигантские объемы данных о каждом из нас, весь день, каждый день», — сказала Кейт Руан, старший советник по законодательным вопросам Первой поправки и конфиденциальности потребителей в Американском союзе гражданских свобод. .Руан также указал, что данные в конечном итоге используются неожиданным образом — намеренно или нет, — например, для таргетинга рекламы или корректировки процентных ставок в зависимости от расы. «Ваши данные берутся и используются во вред».

Законы о конфиденциальности данных потребителей могут дать людям право контролировать свои данные, но при плохом исполнении такие законы также могут сохранить статус-кво. — Мы можем это остановить, — продолжил Руан. «Мы можем создать лучший Интернет, лучший мир, в котором будет больше защиты конфиденциальности.

Что (не) делают действующие национальные законы о конфиденциальности

В настоящее время законы о конфиденциальности представляют собой беспорядочную смесь различных отраслевых правил. «Исторически сложилось так, что в США существует множество разрозненных федеральных [и государственных] законов, — говорит Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law. «[Они] либо смотрят на определенные типы данных, такие как кредитные данные или информацию о здоровье, — сказал Степанович, — либо смотрят на определенные группы населения, такие как дети, и регулируют в этих сферах. ”

В Соединенных Штатах нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, которые обозначаются такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA.

Данные, собираемые подавляющим большинством продуктов, которые люди используют каждый день, не регулируются. Поскольку федеральных законов о конфиденциальности, регулирующих многие компании, нет, они практически вольны делать с данными все, что хотят, если только в штате нет собственного закона о конфиденциальности данных (подробнее об этом ниже).

В большинстве штатов компании могут использовать, делиться или продавать любые данные, которые они собирают о вас, не уведомляя вас об этом.
Ни одно национальное законодательство не устанавливает, когда (или если) компания должна уведомлять вас, если ваши данные взломаны или раскрыты неуполномоченным сторонам.
Если компания передает ваши данные, включая конфиденциальную информацию, такую как ваше здоровье или местонахождение, третьим сторонам (например, брокерам данных), эти третьи стороны могут в дальнейшем продавать или передавать их без уведомления вас.

«Большинство людей считают, что они защищены, до тех пор, пока они не перестанут», — сказал Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии. «К сожалению, поскольку эта экосистема в основном скрыта от глаз и непрозрачна, потребители не могут видеть и понимать поток информации».

Всеобъемлющий европейский закон о конфиденциальности, Общий регламент по защите данных (GDPR), требует от компаний запрашивать некоторые разрешения на обмен данными и дает отдельным лицам права доступа, удаления или контроля над использованием этих данных.В Соединенных Штатах, напротив, нет единого закона, регулирующего конфиденциальность всех типов данных. Вместо этого в нем есть набор законов, обозначаемых такими аббревиатурами, как HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA и VPPA, предназначенных для обработки только определенных типов данных в особых (часто устаревших) обстоятельствах.

Закон о переносимости и подотчетности медицинского страхования (HIPAA) имеет мало общего с конфиденциальностью и распространяется только на общение между вами и «застрахованными лицами», к которым относятся врачи, больницы, аптеки, страховые компании и другие подобные предприятия. Люди склонны думать, что HIPAA охватывает все данные о здоровье, но это не так. Например, ваши данные Fitbit не защищены, и закон не ограничивает, кто может запрашивать ваш статус прививки от COVID-19.
Закон о достоверной кредитной отчетности (FCRA) распространяется на информацию, содержащуюся в вашем кредитном отчете. Он ограничивает круг лиц, которым разрешено просматривать кредитный отчет, информацию, которую могут собирать бюро кредитных историй, и способы получения информации.
Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) подробно описывает, кто может запрашивать документы об образовании учащихся.Это включает в себя предоставление родителям, правомочным учащимся и другим школам права проверять документы об образовании, которые ведет школа.
Закон Грэмма-Лича-Блайли (GLBA) требует, чтобы потребительские финансовые продукты, такие как кредитные услуги или услуги инвестиционного консультирования, объясняли, как они обмениваются данными, а также право клиента на отказ. Закон не ограничивает использование компаниями собираемых ими данных, если они заранее сообщают о таком использовании. По крайней мере, он пытается защитить некоторые личные данные.
Закон о конфиденциальности электронных коммуникаций (ECPA) ограничивает прослушивание телефонных разговоров и других электронных сигналов государственными органами (хотя Закон США о патриотизме многое изменил). Он также устанавливает общие правила, касающиеся того, как работодатели могут отслеживать общение сотрудников. Критики часто отмечают, что ECPA, принятый в 1986 году, устарел. Поскольку ECPA был написан задолго до появления современного Интернета, он не защищает от современных тактик наблюдения, таких как доступ правоохранительных органов к старым данным, хранящимся на серверах, в документах облачного хранилища и в поисковых запросах.
Правило о защите конфиденциальности детей в Интернете (COPPA) налагает определенные ограничения на сбор компанией данных о детях младше 13 лет.
Закон о защите конфиденциальности видео (VPPA) запрещает раскрытие записей об аренде видеокассет. Сейчас этот закон может показаться глупым, но он был принят после того, как журналист вытащил видеопрокат кандидата в Верховный суд Роберта Борка. Однако VPPA не устояла против стриминговых компаний.
Закон о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии) уполномочивает Федеральную торговую комиссию преследовать приложение или веб-сайт, которые нарушают ее собственную политику конфиденциальности.FTC также может расследовать нарушения маркетинговых формулировок, связанных с конфиденциальностью, как это было, когда она подала жалобу на Zoom за обман пользователей, заявив, что видеочаты были зашифрованы сквозным шифрованием. Некоторые группы также недавно призвали Федеральную торговую комиссию распространить эту власть на неправомерные действия с данными.

Среди множества различных законов легко увидеть, как люди путаются в том, какие права у них есть, а какие нет. Чтобы добавить к этому, наряду с этими федеральными законами также есть несколько законов штатов.

Всего в трех штатах действуют всеобъемлющие законы о конфиденциальности данных

Изображение: IAPP

В настоящее время в трех штатах США действуют три различных всеобъемлющих закона о конфиденциальности потребителей: Калифорния (CCPA и его поправка, CPRA), Вирджиния (VCDPA) и Колорадо (ColoPA). . Независимо от того, в каком штате находится компания, права, предусмотренные законодательством, распространяются только на людей, проживающих в этих штатах.

«Многие положения подтверждают бизнес-модель. [VCDPA], по сути, позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали.” — Кейт Руан, старший юрисконсульт Американского союза гражданских свобод

Эти законы имеют схожие положения, которые, как правило, дают вам определенное уведомление и возможность выбора в управлении вашими данными. По сути, компания, работающая в соответствии с этими правилами, должна сообщить вам, продает ли она ваши данные; у вас также есть выбор, согласны вы с этим или нет, и у вас есть право доступа, удаления, исправления или перемещения ваших данных. Эти законы немного отличаются в других аспектах, например, в разрешенных периодах исправления (количество времени, которое компания должна исправить ошибку), размере или уровне доходов предприятий, к которым применяется закон, а также в том, можете ли вы использовать инструменты или «уполномоченные агенты» для запросов на отказ (например, настройка в вашем веб-браузере, которая автоматически отключает вас от продажи данных на веб-странице, или служба, в которой другой человек делает запросы на отказ от вас).

Эксперты, с которыми мы разговаривали, назвали систему защиты конфиденциальности в Калифорнии самой надежной в США, поскольку правила включают ограниченное «частное право на иск» — возможность подать в суд на компанию — в отношении определенных типов утечек данных. Калифорния также требует «глобального отказа», чтобы отказаться от обмена данными с помощью устройства или браузера, вместо того, чтобы быть вынужденным отказаться на каждом сайте в отдельности. Напротив, некоторые из экспертов, с которыми мы беседовали, скептически отнеслись к Закону о защите данных потребителей штата Вирджиния. «Я бы посчитал [VCDPA] довольно слабым законопроектом», — сказал Руан из ACLU. «Это основано на согласии на отказ. Нет защиты гражданских прав. Частного права на иск нет. Многие положения подтверждают бизнес-модель. По сути, это позволяет компаниям, занимающимся сбором больших данных, продолжать делать то, что они делали раньше». Ничто из этого не должно вызывать удивления, учитывая, что закон Вирджинии был написан при активном участии Amazon.

По крайней мере, четыре других штата, Массачусетс, Нью-Йорк, Северная Каролина и Пенсильвания, прямо сейчас имеют серьезные комплексные предложения по конфиденциальности потребительских данных в комитете.В других штатах действуют различные законы на ранних стадиях. Может быть сложно отследить статус всех этих предложений, но у Международной ассоциации профессионалов в области конфиденциальности есть трекер, который показывает, в каких штатах действует законодательство о конфиденциальности и где эти законопроекты находятся в процессе. Согласно исследованию The Markup, по крайней мере 14 предложений аналогичны более слабому закону Вирджинии.

Как и в случае с национальными законами, существуют законы на уровне штатов, которые охватывают отдельные аспекты конфиденциальности данных.В штате Миссури действуют правила конфиденциальности электронных книг. Закон Иллинойса о конфиденциальности биометрической информации (BIPA) дает людям право на конфиденциальность их биометрических данных, таких как отпечатки пальцев или сканирование лица. Когда дело доходит до уведомлений об утечке данных, особенно сложно знать свои права, поскольку существует как минимум 54 различных закона, которые различаются в зависимости от региона.

Эми Степанович из Silicon Flatirons Center отметила, что такие государственные законы по-прежнему полезны, даже если они могут ввести в заблуждение. «Вы можете думать о них как о повышении уровня воды», — сказала она, добавив, что компании часто предпочитают «применять более сильные, более защитные стандарты для всех», когда юридические стандарты повышаются.

Существует также риск того, что слишком много законов штатов создадут путаницу, как для компаний, так и для потребителей. Уитни Меррилл, поверенный в области конфиденциальности и сотрудник по защите данных, сказала, что федеральный закон упростит задачу для всех. «Нам нужен федеральный закон, который рассматривает вещи с гораздо более последовательным подходом, — сказал Меррилл, — чтобы убедиться, что потребители понимают и имеют правильные ожидания в отношении прав, которые они имеют в отношении своих данных».

Четыре области, которые заслуживают базовой защиты, по мнению экспертов по конфиденциальности

Все, с кем мы разговаривали, описывали потенциальные законы о конфиденциальности данных потребителей как «этаж», на котором можно было бы опираться на них в будущем по мере появления новых технологий.Этот уровень обычно включает в себя несколько основных средств защиты:

Права на сбор и обмен данными : Законы должны давать людям право видеть, какие данные о них собрали различные компании, требовать, чтобы компании удаляли любые данные, которые они собрали, и для удобного переноса данных из одного сервиса в другой. Это также включает в себя право запретить компаниям продавать (или передавать) ваши данные третьим лицам. Чтобы получить представление о том, как такое регулирование работает на практике, мы рассмотрели, каково это запрашивать информацию в Калифорнии в соответствии с CCPA, которое, как правило, требует, чтобы вы щелкнули по крайней мере одну форму на каждом веб-сайте, с которым вы взаимодействуете (и для некоторых третьих лиц, о существовании которых вы можете даже не знать).
Согласие на согласие: Компания должна спросить вас, может ли она передавать или продавать ваши данные третьим лицам. Вам не придется часами отказываться от сбора ваших личных данных через каждый сервис, которым вы пользуетесь.
Минимизация данных: Компания должна собирать только то, что ей необходимо для предоставления услуги, которой вы пользуетесь.
Недискриминация и отсутствие дискриминации в отношении использования данных: Компания не должна дискриминировать людей, осуществляющих свои права на неприкосновенность частной жизни; например, компания не может взимать с кого-то дополнительную плату за защиту их конфиденциальности, а компания не может предлагать клиентам скидки в обмен на то, что они откажутся от большего количества данных. Этот регламент также должен включать разъяснения о защите гражданских прав, например о предотвращении дискриминации рекламодателями определенных характеристик.

Компания Merrill также хотела бы видеть более всеобъемлющий закон об уведомлении об утечке данных, возможно, в виде отдельного законопроекта. «Я думаю, что это будет довольно легко пройти», — сказала она. «Кто получает уведомление? Каковы общие стандарты? Давайте упростим задачу, чтобы все были на одной волне».

«Особенно в тех штатах, где они не разрешают частному праву [подавать в суд], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление.— Хейли Цукаяма, законодательный активист, Electronic Frontier Foundation

Никакое регулирование не имеет большого значения без правоприменительного механизма. И лоббисты оспаривали «частное право на иск» — разрешение частному лицу подавать в суд на компанию за нарушение конфиденциальности — как один из таких механизмов. Законодательство Калифорнии имеет ограниченное частное право на иск, связанный с небрежностью в отношении утечки данных. В законах Колорадо и Вирджинии даже этого нет. Несколько законопроектов, в том числе в Коннектикуте, Флориде, Оклахоме и Вашингтоне, не стали законами, поскольку они включали частное право на иск.В начале 2021 года законодатели Северной Дакоты представили законопроект, который включал в себя частное право на действия и добровольное согласие, а в ответ группа рекламных компаний (PDF) заявила: «Такой подход приведет к созданию самого ограничительного закона о конфиденциальности в Соединенные Штаты.» Законопроект провалился в государственной палате.

Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, резко описала ситуацию. «Мы хотели бы видеть в законодательстве о конфиденциальности полные права частных лиц», — сказала она.«Мы просто считаем, что если компания нарушает вашу конфиденциальность, вы должны иметь возможность подать на нее в суд».

«Исторически сложилось так, что маргинализированные сообщества не могли полагаться на государственные институты для защиты своих прав», — сказал Степанович. «Поэтому наличие чего-то вроде частного права на иск для чернокожих и других сообществ, не являющихся белыми, гарантирует, что они могут отстаивать свои права или обращаться в суд, если что-то пошло не так».

Солтани, напротив, видел путь вперед без частного права на иск: «Я думаю, что правоприменение является действительно важным аспектом.Если есть адекватное правоприменение — юридическая защита и регулирующие ресурсы — я не думаю, что отказ от частного права на иск является нарушением условий сделки».

Эти ресурсы важны. «Особенно в тех штатах, где они не разрешают частное право [действовать], чтобы затем также недофинансировать государственное правоприменение — это просто оскорбление для раны», — сказал Цукаяма. Калифорния создала группу правоприменения только для этой цели под названием Калифорнийское агентство по защите конфиденциальности, которое будет получать 10 миллионов долларов ежегодного финансирования. Генеральная прокуратура штата Вирджиния занимается правоприменением там с финансированием в размере 400 000 долларов, дополненным штрафами и пенями.

Выбрасывание денег на правоприменение или требование от компаний адаптироваться к новым правилам также требует выполнения работы людьми, а эти люди не всегда легкодоступны. «Одна из моих проблем с законами штатов заключается в том, что нужно изучать все больше и больше вещей, — отметил Меррилл, — и я боюсь выгорания в сообществе конфиденциальности, потому что невозможно идти в ногу, а ставки очень высоки.

Интернет-ассоциация, отраслевая группа, представляющая несколько крупных технологических компаний, включая Amazon, Facebook и Google, указала нам на письмо и свидетельство, направленное в законодательный орган штата Нью-Джерси, в котором основное внимание уделяется двум пунктам: согласию и частному праву на иск. . Ассоциация настаивает на том, чтобы текущая модель отказа от согласия сохраняла статус-кво, при котором потребители должны приложить все усилия, чтобы получить защиту конфиденциальности, изложенную в законе. Ассоциация также включила документ Института правовой реформы, филиала Торговой палаты США, который выступает за благоприятные для бизнеса правовые реформы, в котором утверждается, что частные иски будут препятствовать инновациям, будут стоить слишком много денег и приведут к противоречивым решениям.

Как более строгие законы о конфиденциальности изменят вашу повседневную жизнь

Если вы когда-либо нажимали на одно из этих надоедливых уведомлений о файлах cookie или были вынуждены прокручивать до конца политику конфиденциальности, прежде чем вы сможете использовать программное обеспечение, вы увидели, как такие законы могут иметь пагубное влияние на вашу повседневную жизнь.

Так быть не должно. Степанович сказал, что если закон о конфиденциальности написан хорошо, жизнь большинства людей не должна измениться. «Конфиденциальность заключается не в том, чтобы не использовать технологии, а в том, чтобы иметь возможность участвовать в жизни общества и знать, что вашими данными не будут злоупотреблять или что вы не причините вреда в будущем из-за этого», — сказала она. .Если все сделано правильно, последствия скандалов, подобных тем, что были вокруг Cambridge Analytica или Grindr, можно свести к минимуму. И вы увидите меньше персонализированной рекламы и больше контекстной, которая, возможно, менее пугающая (для чтения статьи требуется подписка).

Хорошо написанный закон о конфиденциальности данных облегчит вам покупку многих интересующих вас продуктов, не беспокоясь о конфиденциальности. Возможно, обзоры и руководства Wirecutter не потребуют подробных сравнений с оценкой политик конфиденциальности для работающих часов, умных весов или роботов-пылесосов, потому что все они будут иметь базовый уровень конфиденциальности, а также четкие, простые для понимания опции. -in правила обмена данными.И если компания ошибается и злоупотребляет этими правами на неприкосновенность частной жизни, эта компания будет нести ответственность за изменение.

Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритма или использование правительством системы распознавания лиц.

Одним из камней преткновения нынешней системы отказа является усталость от уведомлений. Когда каждое приложение и веб-сайт запрашивает у вас десятки разрешений, становится проще принять статус-кво, чем вручную отказаться от каждой технологии отслеживания.Обзорная статья в журнале Science (PDF) в 2015 году показала, насколько плохо большинство людей справились с рисками, связанными с конфиденциальностью, а в статье 2019 года описывается своего рода согласие «уведомление и выбор», к которому все привыкли, как «метод регулирования конфиденциальности, который обещает прозрачность и агентность, но не обеспечивает ни того, ни другого».

Все эксперты, с которыми мы говорили, предпочли модель добровольного согласия и концепцию «конфиденциальность по умолчанию». Такая договоренность изначально сделает учетные записи закрытыми, а приложения не будут иметь никаких разрешений.Вы можете выбрать эти настройки. Наряду с правом подавать в суд на компании согласие на подписку оказывается одной из самых сложных вещей для включения в законы о конфиденциальности. Вместо этого эксперты настаивают на возможности использования расширений браузера или других инструментов, которые отключаются автоматически.

Ашкан Солтани, бывший главный технолог FTC, предложил техническое решение с глобальным контролем конфиденциальности (GPC), которое позволяет отказаться от продажи данных на уровне браузера или устройства — улучшение по сравнению с потребностью отказаться на каждом сайте или в каждом сервисе.В настоящее время GPC включен в несколько браузеров и пользуется уважением нескольких изданий, в том числе The New York Times. Калифорния будет более явно требовать от компаний соблюдать GPC после того, как в 2023 году вступят в силу ее правила «глобального отказа». – отметил Эми Степанович. «Вы хотите, чтобы эта безнадежность ушла, и чтобы люди знали: вы находитесь под защитой, пока занимаетесь этим делом.

Основные законы о конфиденциальности, за которые выступают, которые предлагаются, а иногда и принимаются, не могут и не будут все исправлять. Учитывая сложность экономики данных, которая сейчас существует, можно и, возможно, нужно сделать гораздо больше. Даже самые последние законы не учитывают всевозможные другие проблемы с данными, такие как прозрачность алгоритмов или использование правительством системы распознавания лиц. Существует несколько национальных законов о конфиденциальности, находящихся на разных стадиях принятия, но ни один из них не имеет серьезных шансов быть принятым в ближайшее время.

Но новые законы могли бы, по крайней мере, поощрять продукты и услуги, менее враждебные конфиденциальности, и они могли бы обеспечить базовую защиту (и правоприменение) от наиболее вредоносных типов интеллектуального анализа данных, а также сформировать основу для большей защиты конфиденциальности в будущем. В лучшем случае закон о конфиденциальности данных может сделать так, чтобы вы могли покупать новейшие штуковины с забавными новыми функциями, не беспокоясь о том, что компания собирает больше данных, чем вы думаете, и продает их компаниям, о которых вы никогда не слышали. из которых будут использоваться рекламодателями для продажи вам.

Источники

1. Уитни Меррилл, адвокат по вопросам конфиденциальности и специалист по защите данных, телефонное интервью, 26 июля 2021 г.

2. Ашкан Солтани, независимый исследователь и бывший главный технолог Федеральной торговой комиссии, телефонное интервью, 21 июля 2021 г.

3. Кейт Руан, старший советник по вопросам Первой поправки и конфиденциальности прав потребителей в Американском союзе гражданских свобод, интервью по телефону, 21 июля 2021 г.

4. Эми Степанович, исполнительный директор Silicon Flatirons Center в Colorado Law, тел. интервью, 15 июля 2021 г.

5.Хейли Цукаяма, законодательный активист Electronic Frontier Foundation, телефонное интервью, 14 июля 2021 г.

Законы о конфиденциальности данных: что вам нужно знать в 2022 г.

Практически каждая страна приняла какие-то законы о конфиденциальности данных, регулирующие сбор информации, способы информирования субъектов данных и контроль субъекта данных над своей информацией после ее передачи. Несоблюдение применимой конфиденциальности данных может привести к штрафам, судебным искам и даже к запрету использования сайта в определенных юрисдикциях.Навигация по этим законам и правилам может быть сложной, но все операторы веб-сайтов должны быть знакомы с законами о конфиденциальности данных, которые касаются их пользователей.

Вот законы и постановления, о которых вы должны знать в 2022 году. Мы будем обновлять этот список по мере принятия новых законов.

Законы США о конфиденциальности данных Несмотря на многочисленные предложения на протяжении многих лет, в США нет единого всеобъемлющего федерального закона, регулирующего конфиденциальность данных.S. Существует сложное лоскутное одеяло отраслевых и специфических для среды законов, включая законы и постановления, касающиеся телекоммуникаций, медицинской информации, кредитной информации, финансовых учреждений и маркетинга.

Важным правоохранительным органом в США является Федеральная торговая комиссия (FTC). Его полномочия по регулированию в интересах защиты прав потребителей исходят из Закона о Федеральной торговой комиссии (Закон о Федеральной торговой комиссии), который имеет широкую юрисдикцию в отношении коммерческих организаций, находящихся в его ведении, для предотвращения недобросовестной или «мошеннической торговой практики».«В 2021 году предложение о предоставлении FTC дополнительных 500 миллионов долларов было отложено, но ходят разговоры о том, что FTC может наконец получить бюджет, ресурсы и персонал, необходимые ей для работы в качестве де-факто регулятора конфиденциальности страны.

Тем не менее, несмотря на то, что Федеральная торговая комиссия США (FTC) прямо не регулирует, какая информация должна быть включена в политику конфиденциальности веб-сайтов, она использует свои полномочия для издания нормативных актов, обеспечения соблюдения законов о конфиденциальности и принятия принудительных мер для защиты потребителей. Например, FTC может принять меры против организаций, которые:

Неспособность внедрить и поддерживать разумные меры безопасности данных.
Несоблюдение каких-либо применимых принципов саморегулирования отрасли организации.
Несоблюдение опубликованной политики конфиденциальности.
Передавать личную информацию способами, не указанными в политике конфиденциальности.
Делать неточные заявления о конфиденциальности и безопасности (лгать) потребителям и в политиках конфиденциальности.
Невозможно обеспечить достаточную безопасность личных данных.
Нарушение прав потребителей на конфиденциальность данных путем сбора, обработки или обмена информацией о потребителях.
Заниматься вводящей в заблуждение рекламой.

Другие федеральные законы, регулирующие сбор информации в Интернете, включают:

Законы штата о конфиденциальности данных В США действуют сотни отраслевых законов о конфиденциальности и безопасности данных среди штатов.

НАС.Генеральные прокуроры штата контролируют законы о конфиденциальности данных, регулирующие сбор, хранение, защиту, удаление и использование личных данных, полученных от их жителей, особенно в отношении уведомлений об утечке данных и безопасности номеров социального страхования. Некоторые применяются только к государственным организациям, некоторые применяются только к частным организациям, а некоторые применяются к обоим.

В дополнение к отраслевым законам о конфиденциальности в США наблюдается массовый толчок к продвижению законодательства о конфиденциальности на уровне штатов.Это потому, что федеральное правительство не смогло найти консенсус в отношении того, как принимать законы в целом. Вместо того, чтобы ждать, законодатели штатов почувствовали нажим со стороны потребителей, защитников прав потребителей и даже компаний, чтобы установить свои собственные правила. Конечно, компании скорее предпочтут соблюдать один единственный федеральный стандарт, чем нанимать адвоката для изучения каждого закона штата, которому они должны соответствовать. Но государственные толчки — временная мера. И если это то, что должны делать государства, то это то, что они должны делать.

В Калифорнии начался эффект домино. Хотя на сегодняшний день только один штат смог принять всеобъемлющий закон, многие штаты пытаются это сделать. Даже если их первые законопроекты потерпели неудачу на предыдущих законодательных сессиях, они служат ориентиром для того, в чем согласны республиканцы и демократы и что необходимо изменить, прежде чем любая сделка достигнет своего конечного пункта назначения: стола губернатора.

Вот как обстоят дела.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)

На сегодняшний день наиболее полным законодательством штата о конфиденциальности данных является Закон штата Калифорния о конфиденциальности потребителей (CCPA).Закон был подписан 28 июня 2018 г. и вступил в силу 1 января 2020 г. CCPA — это межотраслевой закон, который вводит важные определения и широкие права отдельных потребителей и налагает существенные обязанности на организации или лица, которые собирают личную информацию о житель Калифорнии.

Эти обязанности включают в себя информирование субъектов данных о том, когда и как данные собираются, и предоставление им возможности доступа, исправления и удаления такой информации. Это уведомление должно быть раскрыто в политике конфиденциальности, отображаемой на веб-сайте организации, собирающей данные.

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)

Вот некоторые не совсем личные бейсбольные мячи: компании не были в восторге, когда агент по недвижимости в Калифорнии получил вопрос в бюллетене для голосования в форме Калифорнийского закона о защите прав потребителей. Но, тем не менее, Аластер Мактаггарт собрал достаточно подписей, чтобы выдвинуть гражданскую инициативу, то есть ей не нужно было проходить через обычный законодательный процесс, требующий голосов Ассамблеи и Сената Калифорнии.И как только он прошел, стало ясно, что люди говорили. Затем компании были вынуждены проглотить тяжелую пилюлю: пришло время изменить процессы, чтобы соответствовать первому в стране всеобъемлющему закону о конфиденциальности.

Затем, всего два очень коротких года спустя, Мактаггарт вернулся с тем, что получило прозвище CCPA 2.0. Калифорнийский закон о правах на неприкосновенность частной жизни был принят в ноябре 2020 года и основывается на CCPA, внося поправки в положения, которые Мактаггарт и его команда хотели включить в CCPA, но в то время не могли пересечь финишную черту.

CPRA добавило в CCPA следующее:

Право на исправление: обновляет и дополняет право потребителя на исправление неточной личной информации.
Право на ограничение: это дает потребителям право ограничивать использование и раскрытие их конфиденциальной личной информации.
Конфиденциальная личная информация: это обновляет определение личной информации.Определенные типы информации, такие как номер социального страхования потребителей, должны обрабатываться со специальной защитой.

CPRA также:

Увеличивает штрафы за утечку данных детей в три раза.
Расширяет ответственность за нарушение за нарушение незашифрованных данных до раскрытия учетных данных (например, адреса электронной почты или пароля), которые могут привести к доступу к учетной записи потребителя.
Ограничивает продолжительность времени, в течение которого компания может хранить информацию о потребителях, только тем, что необходимо и «пропорционально» причине, по которой она была собрана в первую очередь.
Требует от компаний, использующих сторонних поставщиков, обязать эти третьи стороны обеспечивать такой же уровень защиты конфиденциальности данных, которыми они делятся с первой стороной.

Одним из наиболее прогрессивных изменений в CPRA является то, как он будет применяться. В то время как генеральные прокуроры штатов обычно занимаются делами о конфиденциальности — если только не участвует Федеральная торговая комиссия, и даже в этом случае это часто партнерство — CPRA учреждает нового регулятора конфиденциальности.

Калифорнийское агентство по защите конфиденциальности будет уполномочено штрафовать нарушителей, проводить слушания о нарушениях конфиденциальности и разъяснять правила конфиденциальности. Это совет состоит из пяти человек, и он начинает действовать через шесть месяцев после вступления в силу CPRA 1 июля 2023 года.

Закон штата Вирджиния о защите данных потребителей (CDPA) Закон Вирджинии о защите данных потребителей (CDPA) был принят 2 марта 2021 года.Он предоставляет потребителям из Вирджинии права на свои данные и требует от компаний, подпадающих под действие закона, соблюдения правил в отношении собираемых ими данных, способов их обработки и защиты и того, кому они предоставляются.

Закон содержит некоторое сходство с положениями Общего регламента ЕС по защите данных и Калифорнийского закона о конфиденциальности потребителей. Это относится к организациям, которые ведут бизнес в Вирджинии или продают товары и услуги, ориентированные на жителей Вирджинии, а также выполняют одно из следующих действий:

Контролировать или обрабатывать персональные данные 100 000 или более человек.
Контролируйте или обрабатывайте личные данные не менее 25 000 потребителей и , получающих 50% своего дохода от продажи личной информации.

CDPA требует, чтобы компании, подпадающие под действие закона, помогали потребителям в осуществлении их прав на данные, получая согласие перед обработкой их конфиденциальных данных, раскрывая, когда их данные будут проданы, и позволяя им отказаться от этого. Он также требует, чтобы компании предоставляли пользователям четкое уведомление о конфиденциальности, которое включает в себя способ отказаться от целевой рекламы.

CDPA вступает в силу в тот же день, когда последний закон Калифорнии о конфиденциальности, CPRA, заменяет его предыдущую итерацию, CCPA, 1 января 2023 года. Вполне вероятно, что законодатели внесут поправки в закон до этого, поэтому рекомендуется сохранить следить за этим законом по мере его развития.

Закон штата Колорадо о конфиденциальности (CPA)

В июне 2020 года Колорадо стал третьим штатом США.S. государство принять закон о конфиденциальности. Закон штата Колорадо о конфиденциальности предоставляет жителям Колорадо права на свои данные и налагает обязательства на контролеров и обработчиков данных. Он имеет некоторое сходство с двумя законами о конфиденциальности Калифорнии, Калифорнийским законом о конфиденциальности потребителей (CCPA) и Калифорнийским законом о правах на конфиденциальность (CPRA), а также с недавно принятым Законом о защите данных потребителей (CDPA) Вирджинии. Он даже заимствует некоторые термины и идеи из Общего регламента ЕС по защите данных.

Несмотря на некоторые сходства, такие как некоторая форма права на отказ, особая защита конфиденциальных данных и принятие некоторых принципов конфиденциальности, существенные различия заключаются в деталях.

CPA применяется к компаниям, которые собирают личные данные от 100 000 жителей Колорадо или собирают данные от 25 000 жителей Колорадо и и получают часть дохода от продажи этих данных.

Закон перечисляет пять прав, предоставляемых жителям Колорадо после вступления закона в силу. Это:

Право отказаться от целевой рекламы, продажи своих личных данных или профилирования.
Право на доступ к данным, собранным о них компанией.
Право на исправление собранных о них данных.
Право запрашивать собранные о них данные удалено.
Право на переносимость данных (то есть право взять ваши данные и передать их другой компании).

Закон предусматривает 17 общих исключений. К ним относятся:

Если данные были собраны для целей закона о медицинском страховании штата Колорадо.
Если организация, собирающая данные или собранные данные, уже подпадает под действие определенных отраслевых законов, включая Закон о защите конфиденциальности детей в Интернете или Закон о правах семьи на образование и конфиденциальность.
Если данные были деидентифицированы или псевдонимизированы.
Если данные хранятся и используются агентством по информированию потребителей.
Если данные используются для учета занятости.

Закон штата Нью-Йорк SHIELD

В июле 2019 года в Нью-Йорке был принят Закон Остановить взломы и повысить безопасность электронных данных (SHIELD).Этот закон вносит поправки в действующий в Нью-Йорке закон об уведомлении об утечке данных и предъявляет дополнительные требования к безопасности данных для компаний, которые собирают информацию о жителях Нью-Йорка. По состоянию на март 2020 года закон полностью подлежит исполнению. Этот закон расширяет сферу конфиденциальности потребителей и обеспечивает лучшую защиту жителей Нью-Йорка от утечки данных их личной информации.

Другие законы штата о конфиденциальности данных

Калифорния, Нью-Йорк, Вирджиния и Колорадо являются первыми штатами, принявшими широкое законодательство, оказывающее влияние на всю страну, но многие другие штаты США.

Южные штаты также рассматривают законы о конфиденциальности данных.

Европа

Общий регламент ЕС по защите данных остается законом страны. Но есть ряд предложений, о которых нужно знать в 2022 году. Вот обновленная информация о GDPR и список других предложений, которые вы должны отслеживать, если ваша организация заботится о конфиденциальности данных.

Общий регламент по защите данных (GDPR) Наиболее важным законодательством о защите данных, принятым на сегодняшний день, является Общий регламент по защите данных (GDPR).Он регулирует сбор, использование, передачу и безопасность данных, полученных от жителей любой из 28 стран-членов Европейского Союза. Закон распространяется на всех жителей ЕС, независимо от местонахождения организации, собирающей персональные данные. На организации, которые не соблюдают GDPR, могут быть наложены штрафы в размере до 20 миллионов евро или 4% от общего мирового оборота.

Некоторые важные требования GDPR включают:

Согласие

Субъектам данных должно быть разрешено давать явное и недвусмысленное согласие до сбора персональных данных.Персональные данные включают информацию, собранную с помощью файлов cookie. Некоторая информация, обычно не считающаяся «личной информацией» в Соединенных Штатах, например IP-адрес компьютера пользователя, считается «личными данными» в соответствии с GDPR.

Уведомление об утечке данных

В большинстве случаев организации обязаны уведомлять надзорные органы и субъектов данных в течение 72 часов в случае утечки данных, затрагивающей личную информацию пользователей.

Права субъектов данных

Субъекты данных (люди, чьи данные собираются и обрабатываются) имеют определенные права в отношении своей личной информации. Эти права должны быть доведены до сведения субъектов данных в четкой и легкодоступной политике конфиденциальности на веб-сайте организации.

Право на получение информации. Субъекты данных должны быть проинформированы о сборе и использовании их персональных данных при их получении.
Право на доступ к своим данным. Субъект данных может запросить копию своих персональных данных с помощью запроса субъекта данных. Контроллеры данных должны объяснить средства сбора, что обрабатывается и кому они передаются.
Право на исправление. Если данные субъекта данных являются неточными или неполными, они имеют право попросить вас исправить их.
Право на стирание. Субъекты данных имеют право потребовать удаления связанных с ними персональных данных на определенных основаниях в течение 30 дней.
Право на ограничение обработки. Субъекты данных имеют право запросить ограничение или удаление своих личных данных (хотя вы все равно можете их хранить).
Право на переносимость данных. Субъекты данных могут безопасно и надежно передавать свои данные из одной электронной системы в другую в любое время, не нарушая ее возможности использования.
Право на возражение. Субъекты данных могут возражать против использования их информации в целях маркетинга, продаж или в целях, не связанных с оказанием услуг.Право на возражение не применяется, когда используются юридические или официальные полномочия, задача выполняется в общественных интересах или когда организации необходимо обработать данные, чтобы предоставить вам услугу, на которую вы подписались.

Предложения ЕС для просмотра в 2022 году

Закон о цифровых услугах (DSA)

Европейская комиссия стремится обновить свои правила в отношении цифровых услуг в ЕС. Использование двух предложенных законов для формирования единого свода правил в ЕС делает это.Они называются Законом о цифровых услугах и Законом о цифровых рынках. Вместе они стремятся защитить пользователей и создать «равное игровое поле для стимулирования инноваций, роста и конкурентоспособности».

Думайте обо всем, что доставляется через Интернет, когда вы думаете о цифровых услугах. Это может быть служба потоковой передачи музыки, электронная книга или веб-сайт.

Закон о цифровых услугах будет охватывать:

Посреднические услуги (провайдеры доступа в Интернет и т. д.))
Услуги хостинга.
Онлайн-платформы.

Его обязательства варьируются в зависимости от размера организации, но они могут включать мониторинг сторонних поставщиков, внешний аудит рисков и кодексы поведения.

Несмотря на то, что комитет по внутреннему рынку Европейского парламента дал свое одобрение, законопроект будет представлен парламенту в полном объеме в январе 2022 года.

Закон о цифровых рынках

В соответствии с предложением Закон о цифровых рынках будет охватывать крупнейшие цифровые платформы, известные как «привратники».Подумайте о таких компаниях, как Facebook, Apple, Microsoft и Google. Он направлен на создание равных условий для цифровых компаний всех размеров. Это создаст правила для основных интернет-платформ, которые не позволят им навязывать «несправедливые условия компаниям и потребителям». Например, такой компании, как Amazon, не разрешается ранжировать продукты на своем сайте таким образом, чтобы это давало преимущества собственным продуктам и услугам Amazon.

Это также дало бы Европейскому комиссару право проводить расследования и наказывать за плохое поведение, а также обновлять обязательства закона по мере необходимости.

Европейский парламент принял Закон о цифровых рынках, и теперь он направляется на переговоры в Европейскую комиссию.

Регламент электронной конфиденциальности

Регламент электронной конфиденциальности разрабатывался давно. Он должен был вступить в силу вместе с Общим регламентом ЕС по защите данных в 2018 году, но застопорился на несколько лет. Положение об электронной конфиденциальности создаст правила конфиденциальности для традиционных электронных коммуникационных услуг и организаций, которые не подпадали под действие прежнего закона, Директивы об электронной конфиденциальности, таких как WhatsApp, Facebook Messenger и Skype.

Это создаст более строгие правила в отношении конфиденциальности электронных сообщений и будет применяться не только к содержанию сообщений, но и к «метаданным», то есть данным, описывающим другие данные. В рамках ePrivacy поставщики услуг и сети электронной связи должны получить предварительное согласие пользователя перед обработкой своих метаданных электронной связи.

Кроме того, важно создать более простые правила для файлов cookie.Это позволит пользователям давать согласие или отклонять отслеживающие файлы cookie на уровне браузера, а также разъяснит, что веб-сайтам не нужно получать согласие на то, что называется «ненавязчивыми файлами cookie, не связанными с конфиденциальностью». Эти файлы cookie позволяют функциям веб-сайта, таким как «корзина», отслеживать, что пользователь заказал. Также потребуется, чтобы организации разрешали конечным пользователям отзывать свое ранее предоставленное согласие не реже одного раза в год.

Закон об искусственном интеллекте

Закон ЕС об искусственном интеллекте будет применяться к любой компании, ведущей бизнес в ЕС, которая разрабатывает или внедряет программное обеспечение на основе машинного обучения. Он будет применяться экстерриториально, то есть закон будет распространяться на компании, базирующиеся в других странах, если у них есть клиенты или пользователи в ЕС.

Закон об искусственном интеллекте запрещает следующее:

Методы, используемые для манипулирования поведением человека таким образом, что это может причинить психический или физический вред.
систем искусственного интеллекта, которые могут использовать уязвимые группы в зависимости от возраста, физической или умственной неполноценности.
Системы искусственного интеллекта, которые предоставляют правоохранительным органам удаленные биометрические данные в режиме реального времени в общедоступных местах.

Общий закон Бразилии о защите персональных данных (LGPD)

Закон Бразилии о защите данных (Lei Geral de Proteção de Dados Pessoais на португальском языке, или LGPD) вступил в силу в 2020 году.

Он содержит положения, аналогичные GDPR, и направлен на регулирование обработки персональных данных всех физических или физических лиц в Бразилии. Это означает, что, как и в случае с GDPR, даже если ваша компания не находится в Бразилии, если вы обрабатываете данные жителей Бразилии, это относится к вам.

Компании и группы, которые не соблюдают положения и директивы закона, могут быть оштрафованы, например, на 2% от их выручки от продаж или даже на сумму до 50 миллионов бразильских реалов (примерно 12 миллионов долларов США).

Согласие

В соответствии с LGPD персональные данные могут обрабатываться либо с согласия субъекта данных, либо когда:

Он должен быть обработан в соответствии с юридическими обязательствами.
Государственной администрации необходимо выполнять государственную политику.
Для исследовательских целей.
Для защиты жизни или физической безопасности субъекта данных.

Уведомление об утечке данных

В случае утечки данных контролеры данных должны уведомить Национальный орган по защите данных в «разумный срок» с момента нарушения, если существует потенциальный риск или ущерб для вовлеченных субъектов данных.

Права субъектов данных

Права, предоставленные бразильским подданным, позволяют им:

Подтвердить наличие обращения.
Доступ к их данным.
Исправить неполные, неточные или устаревшие данные.
Передать свои данные другому поставщику услуг или продукту (переносимость данных).
Удалить их данные.
Иметь информацию о любых государственных и частных объектах, которым контроллер поделился своими данными.
Получить информацию о том, что произойдет, если они не дадут согласие на обработку своих данных.
Отозвать согласие на обработку своих данных.

Эти права аналогичны правам, предоставленным GDPR.

Важность политики конфиденциальности На любом веб-сайте должна быть политика конфиденциальности, объясняющая пользователям, какая информация собирается, как она используется, как ею можно делиться и как она защищена.Чтобы полностью соответствовать законам США и ЕС о защите данных, все субъекты данных должны иметь возможность дать согласие на сбор личной информации. Хотя большая часть информации о пользователях предоставляется добровольно, когда они подписываются на информационные бюллетени, заполняют формы или отправляют запросы по электронной почте, информация, полученная от третьих лиц и с помощью файлов cookie, также должна раскрываться, и пользователям должна быть предоставлена возможность дать согласие на это. заблокировать или отключить файлы cookie.

2020 Законодательство о конфиденциальности данных потребителей

Содержание

Контакт

В последние годы ряд событий слился воедино, чтобы повысить осведомленность потребителей о конфиденциальности и озабоченность ими: реализация Калифорнийского закона о конфиденциальности потребителей от 2018 года (CCPA), Общего регламента по защите данных в Европе (GDPR) и продолжающиеся нарушения безопасности всех типов, а также все более широкое использование американцами Интернета для различных видов деятельности.

По данным Исследовательского центра Пью, более 80% американцев ежедневно выходят в интернет. Из них 28% выходят в интернет почти постоянно, а 45% выходят в интернет несколько раз в день. Потребители теперь лучше осведомлены о том, что предприятия, сайты социальных сетей и другие веб-сайты могут собирать и передавать их личную информацию третьим лицам. Они также узнают больше о нарушениях безопасности, кибератаках и несанкционированном обмене личной информацией.

Несмотря на то, что законодательные органы штатов в течение многих лет занимались вопросами конфиденциальности в различных секторах, в 2019 году больше штатов приняли комплексное законодательство о конфиденциальности (например, CCPA), чем в предыдущие годы, в дополнение к другим типам законодательства, направленным на защиту конфиденциальности потребителей в Интернете.Однако, несмотря на увеличение количества законопроектов, всеобъемлющее законодательство в 2019 году не было принято.

Количество счетов за конфиденциальность данных потребителей увеличилось в 2020 году по сравнению с 2019 годом, включая комплексные счета за конфиденциальность данных потребителей. В 2020 году было принято дополнительное законодательство, касающееся сбора и использования биометрических данных или данных распознавания лиц коммерческими организациями. Однако было принято несколько законопроектов, поскольку пандемия Covid-19 нарушила законодательные сессии и резко изменила приоритеты.

Законодательство, указанное ниже, ограничивается регулированием практики конфиденциальности коммерческих организаций, онлайн-сервисов или коммерческих веб-сайтов, включая законодательство, связанное с конфиденциальностью данных потребителей, включая законопроекты, связанные с конфиденциальностью в Интернете, сбором биометрических данных потребителей, регулированием брокеров данных. и другие вопросы конфиденциальности потребителей. Законодательство, связанное с утечкой данных, сюда не включено, а некоторые дополнительные типы законов и законодательства о конфиденциальности рассматриваются отдельно в других ресурсах NCSL.

2020 Законодательство о конфиденциальности данных потребителей

Законопроекты

были рассмотрены как минимум в 30 штатах и Пуэрто-Рико в 2020 году. Как отмечалось выше, в 2020 году было принято несколько законопроектов о конфиденциальности данных потребителей. позволяет продавцу сканировать машиночитаемую зону водительских прав человека в целях проверки, но требует, чтобы продавец уничтожил сохраненную информацию, когда цель, для которой она была предоставлена и сохранена, была достигнута.Кроме того, были приняты следующие три законопроекта штата Калифорния:

AB 82 требует, чтобы плата за регистрацию брокера данных использовалась для компенсации расходов на интернет-сайт, где информация, предоставленная брокерами данных, доступна для общественности.
AB 713 освобождает от действия Закона о конфиденциальности потребителей информацию, которая была обезличена в соответствии с указанным федеральным законом или политикой.
AB 1281 освобождает от действия CCPA определенную информацию о занятости и личную информацию, связанную с деловыми коммуникациями и транзакциями.

Кроме того, как было одобрено избирателями Калифорнии в ноябре, Калифорнийское предложение 24, вступившее в силу 1 января 2023 года, еще больше расширит законы штата о конфиденциальности данных потребителей. Это позволит потребителям: (1) запрещать компаниям делиться личной информацией; (2) исправить неточную личную информацию; и (3) ограничить использование компаниями «конфиденциальной личной информации», такой как точная геолокация; гонка; этническая принадлежность; религия; генетические данные; членство в профсоюзе; частные сообщения; и определенная сексуальная ориентация, здоровье и биометрическая информация.Он запретит компаниям хранить личную информацию дольше, чем это разумно необходимо, и утроит максимальные штрафы за нарушения в отношении потребителей в возрасте до 16 лет. Он учредит Калифорнийское агентство по защите конфиденциальности для обеспечения соблюдения и реализации законов о конфиденциальности потребителей и наложения административных штрафов.

Аризона

AZ HB 2728
Статус: не выполнено — отложено
Относится к биометрическим идентификаторам, относится к коммерческим целям, относится к согласию.

AZ HB 2729
Статус: Не выполнено — Отложено
Относится к персональным данным, относится к обработке, относится к стандартам безопасности.

AZ HCR 2013
Статус: не выполнено — отложено
Относится к данным потребителей, относится к конфиденциальности, относится к федеральному стандарту.

AZ SB 1614
Статус: Ошибка — Отложено
Относится к данным потребителей, относится к конфиденциальности.

Калифорния

CA AB 82
Статус: принят
Этот законопроект требует, чтобы сборы за регистрацию брокеров данных вносились в Фонд регистрации брокеров данных, который в соответствии с законопроектом будет создан в Государственном казначействе, чтобы быть доступным для расходов Департамента юстиции, при ассигновании Законодательным органом, для компенсации расходов на веб-сайт в Интернете, где информация, предоставленная брокерами данных, доступна для общественности.

CA AB 713
Статус: Принят
За исключением Закона о конфиденциальности потребителей информация, которая была деидентифицирована в соответствии с указанным федеральным законом, была получена из медицинской информации, защищенной медицинской информации, индивидуально идентифицируемой медицинской информации или идентифицируемой частной информации, в соответствии с определенной федеральной политикой. Запрещает бизнесу или другому лицу повторно идентифицировать информацию, которая была деидентифицирована, если не соблюдается указанное исключение.

CA AB 846
Статус: принят
Примечание . Положения исходной версии этого законопроекта , призванные разъяснить Закон штата Калифорния о конфиденциальности потребителей от 2018 года, были изменены из AB 846.

CA AB 873
Статус: Не выполнено — отложено
Пересмотрено определение деидентифицированной информации для целей Закона о защите прав потребителей, чтобы оно означало информацию, которая не идентифицирует конкретного потребителя и не может быть прямо или косвенно связана с ним.Указывает, что личная информация включает в себя указанную информацию, которая, помимо прочего, может быть связана или может быть обоснованно связана, прямо или косвенно, с конкретным потребителем или домохозяйством.

CA AB 981
Статус: Не выполнено — отложено
Лишает права потребителя требовать от компании удаления или не продажи личной информации потребителя в соответствии с Законом о конфиденциальности потребителей, если необходимо сохранить или передать личную информацию потребителя другим лицам. совершить страховую операцию, запрошенную потребителем.

CA AB 1138
Статус: наложено вето
Запрещает физическому или юридическому лицу, которое ведет бизнес в штате и управляет веб-сайтом или приложением социальной сети, разрешать лицу младше определенного возраста создавать учетную запись на веб-сайте или в приложении, за исключением случаев, когда веб-сайт или приложение получают согласие родителя или опекуна лица перед созданием учетной записи с использованием метода, который включает разумные меры для обеспечения того, чтобы лицо, дающее свое согласие, было родителем или законным опекуном такого лица.

CA AB 1281
Статус: Принят
Продлевает исключения из Закона о конфиденциальности потребителей определенную информацию, собранную предприятием о физическом лице в ходе его деятельности в качестве кандидата на работу, работника, владельца, директора, должностного лица, медицинского персонала или подрядчика и личную информацию, отражающую письменное или устное общение или сделку между бизнесом и потребителем, до указанной даты.

CA AB 1395
Статус: Ошибка — отложено
Запрещает физическому или юридическому лицу обеспечивать работу функции распознавания голоса в штате без заметного информирования пользователя во время первоначальной настройки или установки интеллектуального динамика.Запрещает любые деидентифицированные фактические записи или транскрипции, собранные или сохраненные с помощью функции распознавания голоса производителем подключенного телевизора или смарт-динамика, от использования в каких-либо рекламных целях или продажи.

CA AB 1416
Статус: Не выполнено — отложено
Указывает, что Закон штата о защите прав потребителей не ограничивает способность бизнеса соблюдать какие-либо правила или положения, принятые в соответствии с федеральными законами или в их поддержку.Устанавливает исключение из закона для бизнеса, который предоставляет личную информацию потребителя государственному органу исключительно в целях выполнения государственной программы, если выполняются определенные требования.

CA AB 1665
Статус: Не выполнено – отложено
Принимает Закон о практике спортивной подготовки. Учреждает Калифорнийский совет по спортивной подготовке в рамках Департамента по делам потребителей для выполнения лицензионных, регулирующих и дисциплинарных функций. Запрещает человеку заниматься спортивным тренером или использовать определенные титулы или термины без лицензии совета.Требуется лицензированный спортивный тренер для занятий только в сотрудничестве с врачом и хирургом.

CA AB 2261
Статус: Сбой — отложено
Требуется процессор, как определено, который предоставляет услуги распознавания лиц, чтобы, среди прочего, сделать доступным интерфейс прикладного программирования или другие технические возможности, выбранные процессором, чтобы включить контролеров или третьих лиц проводить законные, независимые и разумные тесты этих служб распознавания лиц на предмет точности и недобросовестных различий в производительности между отдельными подгруппами.

CA AB 2280
Статус: отклонено — отложено
В этом законопроекте определение «информации о состоянии здоровья» для целей закона означает индивидуально идентифицируемую информацию в электронной или физической форме о психическом или физическом состоянии человека, которая собранный одобренным FDA коммерческим интернет-сайтом, онлайн-сервисом или продуктом, который используется физическим лицом по указанию поставщика медицинских услуг с основной целью сбора и собирает индивидуально идентифицируемую информацию о состоянии здоровья человека. посредством прямого измерения психического или физического состояния человека или посредством пользовательского ввода относительно психического или физического состояния человека.Законопроект будет предусматривать, что бизнес, который предлагает потребителю программное или аппаратное обеспечение для личных медицинских карт, чтобы сделать информацию доступной для человека или поставщика медицинских услуг по запросу человека или поставщика медицинских услуг, в целях разрешения лицо для управления своей информацией или для диагностики, лечения или контроля состояния здоровья человека, считается поставщиком медицинских услуг в соответствии с требованиями Закона о конфиденциальности медицинской информации.

CA AB 3212
Статус: Не выполнено — отложено
Запрещает физическому или юридическому лицу, которое ведет бизнес в этом штате, управлять веб-сайтом социальной сети или приложением, которое требует согласия на согласие перед продажей личной информации несовершеннолетнего для получения согласия на продавать личную информацию несовершеннолетнего способом, отличным от общих положений и условий веб-сайта социальной сети или приложения.

CA SB 108
Статус: не выполнено — отложено
Вносит поправки в Закон о контроле за алкогольными напитками.Запрещает лицензиату использовать или продолжать использовать алкогольный сервер без действительной сертификации алкогольного сервера, начиная с указанной даты. Наделяет начальника правоохранительных органов и всех следователей, инспекторов и заместителей Бюро по контролю над каннабисом полномочиями блюстителей порядка, распространяющимися на любое место в штате при осуществлении своих полномочий или выполнении своих обязанностей, возложенных на них законами о расследованиях.

CA SB 980
Статус: наложено вето
Устанавливает Закон о конфиденциальности генетической информации.Запрещает компаниям, предоставляющим услуги генетического тестирования или тестирования на заболевания, раскрывать генетическую информацию человека третьей стороне без получения предварительного письменного согласия человека. Требует, чтобы действия по оказанию судебной помощи возбуждались исключительно окружным прокурором, окружным советником, городским прокурором или городским прокурором.

Коннектикут

CT SB 134
Статус: Не выполнено — Отложено
Касается конфиденциальности потребителей, требует от компаний раскрыть предлагаемое использование любой личной информации и предоставить потребителям право узнать, какой личной информацией владеет компания, и отказаться от продажи такой информации, а также для создания основания для иска и наказания за нарушение таких требований.

Флорида

FL HB 963
Статус: Ошибка
Относится к конфиденциальности данных потребителей, запрещает использование личных данных, содержащихся в общедоступных записях, для определенного маркетинга, вымогательства и контактов без согласия людей, содержит определения.

FL SB 1670
Статус: Ошибка
Относится к конфиденциальности данных потребителей, запрещает использование персональных данных, содержащихся в общедоступных записях, для определенного маркетинга, вымогательства и контактов без согласия людей, определяет условия.

Гавайи

HI HB 761
Статус: Не выполнено — отложено
Указывает, что розничные продавцы могут предоставлять подтверждение покупки в электронной форме участнику программы для постоянных персональная информация.

HI HB 2572
Статус: не выполнено – отложено
Реализует рекомендации Целевой группы по закону о конфиденциальности двадцать первого века.

HI SB 418
Статус: Не выполнено — отложено
Требует раскрытия информации о категориях и конкретных фрагментах идентифицирующей информации, собранной о потребителе по поддающемуся проверке запросу потребителя, раскрывает личность третьих лиц, которым предприятие продало либо передавали идентифицирующую информацию о потребителе по поддающемуся проверке запросу потребителя.

HI SB 1534
Статус: Не выполнено — отложено
Требует от оператора мероприятия раскрывать количество билетов, доступных для продажи широкой публике на мероприятие, запрещает развлекательные заведения, финансируемые за счет пожертвований, государственных средств или освобождается от уплаты налогов при заключении эксклюзивных контрактов на продажу билетов, запрещает продавцам билетов раскрывать личную информацию о покупателях билетов.

HI SB 2451
Статус: Не выполнено — отложено
Запрещает третьей стороне продавать или использовать личную информацию о потребителе, которая была продана третьей стороне предприятием, если только потребитель не получил явного уведомления, не предоставил прямое письменное согласие , и предоставляется возможность воспользоваться правом на отказ, определяет требования к уведомлению для предприятий.

HI SB 2185
Статус: Отклонено — отложено
Исключает нарушения неприкосновенности частной жизни первой степени и определенные нарушения неприкосновенности частной жизни второй степени, из которых не распространяется право на отложенное принятие заявления о признании вины или nolo contendere. Ограничивает использование государством систем распознавания лиц, за исключением определенных обстоятельств.

Айдахо

ID HB 492
Статус: Не выполнено — Отложено
Устанавливает определенные обязательства для пользователей технологии распознавания лиц, определенные права для лиц, чьи данные распознавания лиц были собраны, и определенные обязательства в отношении ответственности государственных учреждений, которые собирают или используют технология распознавания.

Иллинойс

IL HB 1426
Статус: Не выполнено — Отложено
Вносит поправки в Закон о защите частной жизни граждан, вносит технические изменения в раздел, касающийся краткого названия.

IL HB 2736
Статус: Не выполнено — Отложено
Создает Закон о праве на информацию, предусматривает, что оператор коммерческого веб-сайта или онлайн-сервиса, который собирает через Интернет информацию, позволяющую установить личность, об отдельных клиентах, проживающих в стране, которые используют или посещают его коммерческий веб-сайт или онлайн-служба должны уведомлять этих клиентов об определенной указанной информации, касающейся их практики обмена личной информацией.

IL HB 2785
Статус: Не выполнен — Отложен
Создает Закон о защите конфиденциальности геолокации, определяет информацию о геолокации, приложение на основе местоположения, частное лицо и пользователя, предусматривает, что частное лицо не может собирать, использовать, хранить или раскрывать информация о геолокации из приложения на основе местоположения на устройстве пользователя, за исключением случаев, когда частное лицо сначала получает положительное прямое согласие лица после выполнения определенных требований к уведомлению, предусматривает исключения, предусматривает, что нарушение акта представляет собой незаконную практику.

IL HB 2871
Статус: Не выполнено — Отложено
Принят Закон о регистрации брокеров данных, требуется, чтобы брокер данных ежегодно регистрировался у государственного секретаря, определяется как бизнес или подразделение бизнеса, отдельно или вместе, которое намеренно собирает и продает или предоставляет третьим сторонам лицензию на предоставленную личную информацию потребителя, с которым бизнес не имеет прямых отношений.

IL HB 3051
Статус: Не выполнено — Отложено
Создает Закон о защите конфиденциальности приложений, требует, чтобы организация, которая владеет, контролирует или управляет веб-сайтом, онлайн-службой или программным приложением, указывала в своих соглашениях с клиентами или применимых условиях, являются ли третьи стороны собирают электронную информацию непосредственно с цифровых устройств лиц, которые используют или посещают их веб-сайт, онлайн-сервис или программное приложение, требует раскрытия имен этих третьих лиц и категорий собираемой информации.

IL HB 3130
Статус: не выполнено — отложено
Вносит поправки в Закон о конфиденциальности генетической информации, включая прямое коммерческое генетическое тестирование для потребителя в определение генетического тестирования.

IL HB 3357
Статус: Не выполнен — Отложено
Создает Закон о конфиденциальности данных, содержит только краткое название.

IL HB 3358
Статус: Не выполнено — Отложено
Разрабатывает Закон о прозрачности данных и конфиденциальности, устанавливает, что физические лица имеют право на неприкосновенность личная информация об отдельных потребителях должна раскрывать информацию физическому лицу в отношении сбора информации, устанавливает, что потребитель имеет право отказаться от продажи информации о потребителе, создает определенные исключения.

IL HB 4975
Статус: Не выполнено — Отложено
Вносит поправки в Закон о защите личной информации, создает право интеллектуальной собственности на дальнейшее использование личной информации лица, когда не удается устранить нарушение в течение тридцати дней или когда личная информация лица не может быть подтверждена как полностью полученная от лица, занимающегося несанкционированным приобретением, или тех, кому были переданы данные этого лица.

IL HB 5288
Статус: Не выполнено — Отложено
Разрабатывает Закон о конфиденциальности данных, обеспечивает регулирование использования и продажи данных, определяет условия, устанавливает права потребителей на копии информации, хранящиеся у лиц, которые контролируют и обрабатывают данные, предусматривает исправление неточных данных, предусматривает ограничения на использование персональных данных, обеспечивает исполнение Закона Генеральным прокурором, предусматривает гражданско-правовые санкции, упреждает самоуправление.

IL HB 5374
Статус: Не выполнено — Отложено
Вносит поправки в Закон о конфиденциальности биометрической информации, изменяет срок письменного раскрытия на письменное согласие, предусматривает, что письменная политика, разработанная частным лицом, владеющим биометрическими идентификаторами, должна доступным для лица, у которого должна быть собрана или была получена биометрическая информация, предусматривает, что иск, возбужденный в соответствии с законом, должен быть начат в течение одного года после возникновения основания для иска при определенных обстоятельствах.

IL HB 5603
Статус: Не выполнено — Отложено
Создает Закон о конфиденциальности потребителей, предусматривает, что потребитель имеет право потребовать, чтобы компания, собирающая личную информацию потребителя, раскрывала этому потребителю категории и конкретные части личной информации, компания собрала, требует, чтобы компания в момент сбора или до момента сбора информировала потребителя о категориях собираемой личной информации и целях, для которых категории личной информации должны использоваться.

IL SB 413
Статус: Не выполнено — Отложено
Вносит поправки в Закон о защите частной жизни граждан, вносит техническое изменение в раздел, касающийся краткого названия.

IL SB 907
Статус: Не выполнено — Отложено
Вносит поправки в Закон о защите частной жизни граждан, вносит техническое изменение в раздел, касающийся краткого названия.

IL SB 2134
Статус: Не выполнено — Отложено
Вносит поправки в Закон о конфиденциальности биометрической информации, удаляет формулировку, создающую право на частное действие, вместо этого предусматривает, что любое нарушение, возникающее в результате сбора биометрической информации работодателем для трудоустройства, отдела кадров , предотвращение мошенничества или в целях безопасности находится в ведении правоохранительных органов Министерства труда, предусматривает, что сотрудник или бывший сотрудник может подать жалобу в Департамент о предполагаемом нарушении.

IL SB 2149
Статус: Не выполнено — Отложено
Создает право знать Закон о прозрачности данных и конфиденциальности, предусматривает, что оператор коммерческого веб-сайта или онлайн-сервиса, который собирает через Интернет информацию, позволяющую установить личность, об отдельных клиентах, проживающих в или посетить свой коммерческий веб-сайт или онлайн-сервис, должен уведомить этих клиентов об определенной указанной информации, относящейся к его практике обмена личной информацией, требует, чтобы оператор предоставил определенную указанную информацию после раскрытия.

IL SB 2263
Статус: Не выполнен — Отложен
Разрабатывает Закон о конфиденциальности данных, обеспечивает регулирование использования и продажи данных, определяет условия, устанавливает права потребителей на копии информации, хранящиеся у лиц, которые контролируют и обрабатывают данные, предусматривает исправление неточных данных, предусматривает ограничения на использование персональных данных, обеспечивает исполнение Закона Генеральным прокурором, предусматривает гражданско-правовые санкции, упреждает самоуправление.

IL SB 2273
Статус: Не выполнено — Отложено
Создает Закон об использовании автоматического прослушивания, определяет термины, предусматривает, что для лица, предоставляющего какие-либо интеллектуальные услуги с помощью проприетарного интеллектуального динамика, является незаконным хранение или создание записи или стенограммы любую речь или звук, захваченный интеллектуальным динамиком, или использовать любое хранилище, запись или расшифровку любого голосового взаимодействия пользователя с голосовым пользовательским интерфейсом, или передавать такую запись или расшифровку третьему лицу в любых целях без получения явного информированное согласие.

IL SB 2330
Статус: Не выполнено — Отложено
Создает Закон о прозрачности данных и конфиденциальности, предусматривает, что любой бизнес, который обрабатывает личную информацию или деидентифицированную информацию, должен до обработки уведомить потребителя, которому эта информация относится или принадлежит конкретной информации в соглашении об обслуживании или где-либо, легкодоступном на веб-сайте или в мобильном приложении компании, устанавливает право потребителей на получение информации и предписывает типы информации, которую они могут запрашивать у компаний.

IL SB 3299
Статус: Не выполнено — Отложено
Создает Закон о конфиденциальности потребителей, предусматривает, что потребитель имеет право потребовать, чтобы компания, собирающая личную информацию потребителя, раскрывала этому потребителю категории и конкретные части личной информации, компания собрала, требует, чтобы компания в момент сбора или до момента сбора информировала потребителя о категориях собираемой личной информации и целях, для которых категории личной информации должны использоваться.

IL SB 3414
Статус: не выполнено — отложено
Создает Закон о защите частной жизни домохозяйства, предусматривает, что правоохранительные органы не должны получать электронные данные домохозяйства или направлять получение электронных данных домохозяйства от частного лица или другой третьей стороны, обеспечивает исключений, предусматривает, что если правоохранительный орган получает электронные данные домохозяйства в соответствии с законом, этот орган должен уничтожить всю полученную информацию.

IL SB 3591
Статус: Не выполнено — Отложено
Вносит поправки в Закон о конфиденциальности биометрической информации, удаляет формулировку о том, что выигравшая сторона может взыскать убытки с частного лица, которое нарушает закон по небрежности, за каждое нарушение закона, вместо этого предусматривает, что преобладающее сторона может взыскать заранее оцененные убытки в установленной сумме или фактические убытки, в зависимости от того, что больше, и что такие убытки за небрежное нарушение со стороны частного лица должны быть возмещены только за однократное получение биометрического идентификатора каждой потерпевшей стороны.

IL SB 3593
Статус: Не выполнено — Отложено
Вносит поправки в Закон о конфиденциальности биометрической информации, изменяет срок письменного раскрытия на письменное согласие, предусматривает, что письменная политика, разработанная частным лицом, владеющим биометрическими идентификаторами, должна доступным для лица, у которого должна быть собрана или была получена биометрическая информация, предусматривает, что иск, возбужденный в соответствии с законом, должен быть начат в течение одного года после возникновения основания для иска.

IL SB 3776
Статус: Не выполнено — Отложено
Вносит поправки в Закон о конфиденциальности биометрической информации, предусматривая, что выигравшая сторона может получить только заранее оцененные убытки в размере 1000 долларов США или фактический ущерб, в зависимости от того, что больше, за небрежное нарушение Закона против частного лица. сторона-нарушитель, которая не является нынешним или бывшим работодателем выигравшей стороны, предусматривает, что выигравшая сторона может взыскать фактический ущерб только с частного лица-нарушителя, которое является нынешним или бывшим работодателем выигравшей стороны.

Луизиана

LA HB 617
Статус: Ошибка — Отложено
Обеспечивает защиту личной информации.

LA HB 654
Статус: Ошибка — Отложено
Обеспечивает защиту личной информации.

LA HB 662
Статус: Сбой — Отложено
Предоставляет сведения о программном обеспечении для распознавания лиц.

Массачусетс

MA HB 243
Статус: не выполнено — отложено
Относится к защите личных данных.

MA HB 349
Статус: Не выполнен — Отложен
Регулирует рекламу в Интернете.

MA HB 350
Статус: Ошибка — Отложено
Относится к онлайн-сбору личной информации от детей и несовершеннолетних.

MA HB 382
Статус: Ошибка — Отложено
Относится к сбору, использованию, раскрытию или распространению личной информации от клиентов телекоммуникационных или интернет-провайдеров.

MA HB 1403
Статус: не выполнено — отложено
Относится к конфиденциальности несовершеннолетних в Интернете.

MA SB 120
Статус: Ошибка — Отложено
Относится к конфиденциальности данных потребителей.

MA SB 1936
Статус: Не выполнен — Отложен
Способствует сетевому нейтралитету и защите прав потребителей.

Мэриленд

MD HB 249
Статус: Ошибка
Разрешает потребителям требовать, чтобы бизнес не раскрывал личную информацию потребителя третьим лицам, и осуществлять право отказаться от раскрытия третьим лицам с помощью определенных настроек, включая настройки браузера, Расширение браузера или глобальные настройки устройства запрещают бизнесу раскрывать личную информацию потребителя третьей стороне, если бизнес знает или умышленно игнорирует тот факт, что потребителю меньше 18 лет.

MD HB 307
Статус: Не выполнено — Отложено
Требует от каждого частного лица, владеющего биометрическими идентификаторами или биометрической информацией, разработать письменную политику, доступную для общественности, устанавливающую определенный график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, требует, чтобы каждое частное лицо, владеющее биометрическими идентификаторами или биометрической информацией, соблюдало политику хранения и уничтожения частного лица, за исключением определенных обстоятельств.

MD HB 752
Статус: Ошибка
Запрещает лицу использовать сканирующее устройство для сканирования или считывания удостоверения личности или водительских прав для получения личной сканирование или считывание удостоверения личности или водительских прав человека, предусматривает, что Закон не запрещает сотруднику правоохранительных органов использовать сканирующее устройство для записи, сохранения или передачи информации, если он действует в рамках своих обязанностей.

MD HB 784
Статус: Не выполнен определенный бизнес, который собирает личную информацию потребителя, требует, чтобы определенный бизнес выполнил определенный запрос на информацию определенным образом и в течение 45 дней после получения поддающегося проверке потребительского запроса.

MD HB 1065
Статус: Не выполнено — Отложено
Запрещает коммунальной компании и подрядчику делиться, раскрывать или иным образом предоставлять третьим лицам личную информацию клиента, за определенным исключением, запрещает коммунальной компании и подрядчика от продажи личной информации клиента, требует, чтобы каждая общественная служба и подрядчик использовали разумные процедуры и методы безопасности для защиты личной информации клиента от определенных несанкционированных действий.

MD HB 1578
Статус: Не выполнено — Отложено
Выражает мнение Генеральной Ассамблеи о том, что технология распознавания лиц может представлять определенный риск, а также обеспечивать различные преимущества и что необходимы меры предосторожности, позволяющие использовать эту технологию определенным образом. которые приносят пользу обществу, устанавливает определенные требования и определенные запрещенные действия, связанные с предоставлением услуг по распознаванию лиц определенными лицами, запрещает определенным государственным органам использовать услуги по распознаванию лиц при определенных обстоятельствах.

MD HB 1656
Статус: не выполнено — отложено
Требует от определенных предприятий, собирающих личную информацию потребителя, предоставлять определенные четкие и заметные уведомления потребителю в момент или до момента сбора, разрешает потребителю подавать определенный запрос на информацию определенному бизнесу, который собирает личную информацию потребителя, требует, чтобы определенный бизнес выполнил определенный запрос на информацию определенным образом и в течение определенного времени, учреждает Фонд конфиденциальности потребителей.

MD SB 476
Статус: Не выполнено — Отложено
Выражает мнение Генеральной Ассамблеи о том, что технология распознавания лиц может представлять определенный риск, а также обеспечивать различные преимущества и что необходимы меры предосторожности, позволяющие использовать эту технологию определенным образом. которые приносят пользу обществу, устанавливает определенные требования и определенные запрещенные действия, связанные с предоставлением услуг по распознаванию лиц определенными лицами, запрещает определенным государственным органам использовать услуги по распознаванию лиц при определенных обстоятельствах.

MD SB 957
Статус: не выполнено — отложено
Требует от определенных предприятий, собирающих личную информацию потребителя, предоставлять определенные четкие и заметные уведомления потребителю в момент или до момента сбора, разрешает потребителю подавать определенный запрос на информацию определенному бизнесу, который собирает личную информацию потребителя, требует, чтобы определенный бизнес выполнил определенный запрос информации определенным образом и в течение определенного количества дней после получения поддающегося проверке потребительского запроса.

Мэн

ME LR 2602
Статус: Ошибка — Отложено
Относится к действиям по защите конфиденциальности потребителей от поставщиков онлайн-контента, приложений или услуг.

ME LR 2878
Статус: не выполнено — отложено
Относится к действию по расширению защиты конфиденциальности информации о потребителях в Интернете.

Мичиган

MI HB 4658
Статус: Ошибка — Отложено
Регулирует сбор личной информации путем сканирования машиночитаемых, выданных государством водительских прав или удостоверения личности.

MI SB 172
Статус: Принят
Изменяет требования к страховщикам, предоставляющим клиентам политики конфиденциальности.

Миннесота

MN HB 112
Статус: Не выполнено — Отложено
Касается генетической информации, вносит изменения в существующий закон об использовании генетической информации государственными органами, создает новый закон о защите прав потребителей в отношении использования генетической информации.

MN HB 1030
Статус: Ошибка — Отложено
Относится к телекоммуникациям и конфиденциальности данных, запрещает сбор личной информации без явного письменного согласия клиента.

MN HB 2917
Статус: Не выполнено — Отложено
Относится к конфиденциальности данных, требует от контролеров предоставлять, исправлять или ограничивать обработку персональных данных по запросу потребителя, требует от контролеров предоставлять уведомление о конфиденциальности и документировать оценку рисков, предусматривает ответственность и гражданско-правовые санкции, предоставляет генеральному прокурору правоприменительные полномочия.

MN HB 2975
Статус: Ошибка — Отложено
Относится к конфиденциальности данных, требует согласия, прежде чем поставщики передают аудио- или видеоданные третьим лицам.

MN HB 3096
Статус: Не выполнено — Отложено
Относится к конфиденциальности данных потребителей, предоставляет потребителям различные права в отношении личных данных, налагает обязательства по обеспечению прозрачности данных на предприятия, создает частное право на иск, обеспечивает принудительное исполнение Генеральным прокурором.

MN HB 3936
Статус: Не выполнено — Отложено
Относится к конфиденциальности данных потребителей, предоставляет потребителям различные права в отношении личных данных, налагает обязательства на предприятия в отношении данных потребителей, предусматривает принудительное исполнение со стороны генерального прокурора, требует отчета.

MN SB 433
Статус: Не выполнен — Отложен
Относится к телекоммуникациям, конфиденциальности данных, запрещает сбор личной информации при отсутствии письменного согласия клиентов.

MN SB 1553
Статус: Не выполнено — Отложено
Относится к коммерции, требует от поставщиков телекоммуникационных услуг соблюдения требований конфиденциальности в Интернете, определяет термины и изменения определений, требует явного согласия на раскрытие информации, позволяющей установить личность, повышает порог гражданской ответственности.

MN SB 2912
Статус: Не выполнено — Отложено
Относится к конфиденциальности данных, требует от контролеров предоставлять, исправлять или ограничивать обработку персональных данных по запросу потребителя, требует от контролеров предоставлять уведомление о конфиденциальности и документировать оценку рисков, предусматривает ответственность и гражданско-правовые санкции, предоставляет генеральному прокурору правоприменительные полномочия.

MN SB 4247
Статус: Не выполнено — Отложено
Относится к конфиденциальности данных потребителей, предоставляет потребителям различные права в отношении личных данных, налагает обязательства на предприятия в отношении данных потребителей, предусматривает принудительное исполнение со стороны генерального прокурора, требует отчета.

Миссури

MO HB 2375
Статус: не выполнено — отложено
Изменяет закон о защите прав потребителей и правоприменении, ограничивая использование биометрических данных человека.

Миссисипи

MS SB 2548
Статус: Ошибка
Принятие Закона штата Миссисипи о конфиденциальности данных потребителей, разрешает потребителям запрашивать у предприятий раскрытие определенной информации, разрешает потребителям запрашивать у предприятий удаление личной информации, собранной предприятиями, требует от предприятий раскрывать определенную информацию потребителям , информировать потребителей об их праве требовать удаления личной информации и удалять личную информацию, собранную о потребителях, по запросу.

Небраска

NE L 746
Статус: не выполнено — отложено
Принимает Закон штата Небраска о конфиденциальности данных потребителей.

Нью-Гэмпшир

NH HB 536
Статус: Ошибка — Отложено
Запрещает предприятиям использовать, раскрывать или сохранять биометрическую информацию о физическом лице.

NH HB 1236
Статус: Отклонено — Отложено
Устанавливает основание для иска в связи с нарушением ожидания лица в отношении конфиденциальности личной информации.

NH HB 1417
Статус: Ошибка — Отложено
Расширяет запрет на сбор биометрических данных для частных лиц.

NH HB 1466
Статус: Ошибка
Устанавливает исключение из запрета на сканирование, запись, сохранение или хранение информации, полученной из водительских прав.

NH HB 1680
Статус: не выполнено — отложено
Предоставляет потребителям право запрашивать у компании раскрытие типа собираемой личной информации, цели ее сбора и категорий третьих лиц, которым она передается. , разрешает потребителям отказаться от продажи их личной информации, устанавливает частное право на иск и предусматривает дальнейшее правоприменение со стороны генерального прокурора.

NH SB 316
Статус: не выполнено — отложено
Устанавливает уголовное наказание за неспособность защитить личную информацию другого лица.

Нью-Джерси

NJ AB 1181
Статус: На рассмотрении
Требуется, чтобы коммерческие интернет-сайты и операторы онлайн-сервисов размещали на видном месте свою политику конфиденциальности.

NJ AB 2188
Статус: Ожидание
Требуется, чтобы коммерческие интернет-сайты и онлайн-сервисы уведомляли клиентов о сборе и раскрытии личной информации и позволяли клиентам отказаться от участия.

NJ AB 2340
Статус: Ожидается
Запрещает коммерческим операторам мобильной связи раскрывать данные геолокации клиентов третьим лицам.

NJ AB 2489
Статус: Ожидается
Запрещает коммерческим поставщикам мобильных услуг и разработчикам мобильных приложений раскрывать данные о местоположении клиентов третьим лицам.

NJ AB 3072
Статус: На рассмотрении
Относится к Закону об информации о распознавании голоса в бытовой электронике, запрещает использование функции распознавания голоса на подключенном устройстве до информирования пользователя о функции распознавания голоса во время первоначальной настройки или установки подключенного устройства.

NJ AB 3255
Статус: Ожидается
Требует, чтобы некоторые компании уведомляли клиентов об определенной информации, касающейся сбора и продажи информации, позволяющей установить личность, и разрешали клиентам соглашаться на сбор и продажу.

NJ AB 3283
Статус: Ожидается
Относится к Закону штата о раскрытии информации и прозрачности подотчетности (DATA), устанавливает определенные требования к раскрытию и обработке информации, позволяющей установить личность, учреждает Управление по защите данных и ответственному использованию в Отделе по делам потребителей.

NJ AB 3525
Статус: Ожидается
Требует от агентств по информированию потребителей усилить защиту личной информации потребителей.

NJ SB 236
Статус: Ошибка
Требует, чтобы коммерческие веб-сайты и онлайн-службы уведомляли клиентов о сборе и раскрытии информации, позволяющей установить личность, и позволяет клиентам отказаться.

NJ SB 269
Статус: Ожидается
Требует от некоторых предприятий уведомлять субъектов данных о сборе личной информации, устанавливает определенные стандарты безопасности.

NJ SB 1223
Статус: Ожидается
Запрещает розничным торговым предприятиям хранить определенные данные с магнитной полосы, требует возмещения расходов, понесенных финансовым учреждением в связи с нарушением безопасности.

NJ SB 1257
Статус: Pending
Требует, чтобы коммерческие интернет-сайты и онлайн-сервисы уведомляли потребителей о сборе и раскрытии информации, позволяющей установить личность, позволяет потребителям отказаться.

NJ SB 1317
Статус: Ожидается
Требует от агентств по информированию потребителей усилить защиту личной информации потребителей.

Нью-Йорк

NY AB 235
Статус: Не выполнено — Отложено
Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для влияния на объем бизнеса, продажи или рынок поделиться или оценить эффективность маркетинговой практики или маркетингового персонала.

NY AB 431
Статус: Не выполнено — Отложено
Запрещает продажу отчетов о занятости без письменного согласия потребителя при условии, что такие отчеты о занятости должны включать, помимо прочего, информацию о заработной плате и доходах, отработанных часах, потребительской истории и информация о медицинском страховании.

NY AB 1911
Статус: Не выполнено — Отложено
Устанавливает закон о конфиденциальности биометрических данных, требует от частных лиц, владеющих биометрическими идентификаторами или биометрической информацией, разработать письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнего взаимодействия физического лица с частной организацией, в зависимости от того, что произойдет раньше.

NY AB 2775
Статус: Отклонено — Отложено
Запрещает любому лицу раскрывать информацию о медицинском обслуживании или личную информацию лицу, которое занимается доступом и сбором информации в коммерческих целях или чьё использование такой информации будет в связи с маркетингом продукта или услуги без явного письменного разрешения субъекта данных.

NY AB 3308
Статус: Не выполнено — Отложено
Регулирует сбор, раскрытие и распространение личной информации, полученной поставщиком онлайновых компьютерных услуг, с целью обеспечения конфиденциальности информации о подписчиках и схемах заработной платы.

NY AB 3612
Статус: Ошибка — отложено
Требуется, чтобы поставщики интернет-услуг предоставили клиентам копию своей политики конфиденциальности и получили письменное и явное разрешение от клиента перед передачей, использованием, продажей или предоставлением третьей стороне. любая конфиденциальная информация такого клиента.

NY AB 3739
Статус: не выполнено — отложено
Вносит поправки в Общий закон о коммерческой деятельности, ограничивает раскрытие личной информации предприятиями.

NY AB 3818
Статус: Не выполнено — Отложено
Относится к принятию Закона о защите прав потребителей в Интернете, определяет термины, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности и практика сбора и использования данных, связанная с его деятельностью по доставке рекламы, делает соответствующие положения.

NY AB 5306
Статус: Ошибка — отложено
Относится к использованию функций распознавания голоса в некоторых продуктах.

NY AB 6351
Статус: Не выполнено — Отложено
Предоставляет потребителю право запрашивать у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых эта информация собирается, деловые цели сбора или продажи информации, а также категории третьих лиц, которым передается информация.

NY AB 7268
Статус: Ошибка — отложено
Требуется прямое и положительное согласие перед сбором, хранением или передачей любой личной информации, полученной в результате установки или использования системы, подключенной к умному дому, определенными лицами.

NY AB 7736
Статус: не выполнено — отложено
Устанавливает «Закон о ваших данных» в целях обеспечения защиты и прозрачности при сборе, использовании, хранении и обмене личной информацией.

NY AB 8113
Статус: Ошибка — отложено
Требует от производителей интеллектуальных динамиков получения подписанного письменного разрешения от пользователей перед сохранением голосовых записей.

NY AB 8526
Статус: Не выполнено — Отложено
Вводит в действие Закон штата Нью-Йорк о конфиденциальности, требующий от компаний раскрывать свои методы деидентификации личной информации, предусматривающий специальные меры безопасности в отношении обмена данными и позволяющий потребителям получать имена всех организаций с которым передается их информация, создает специальный счет для финансирования нового Управления конфиденциальности и защиты данных.

NY A 10704
Статус: не выполнено — отложено
Разрабатывает стандарты конфиденциальности для электронных медицинских продуктов и услуг, требует согласия на сбор и/или обмен личной медицинской информацией или другими личными данными.

NY SB 224
Статус: не выполнено — отложено
Вносит поправки в Общий закон о коммерческой деятельности, ограничивает раскрытие личной информации предприятиями.

NY SB 518
Статус: Ошибка — Отложено
Запрещает раскрытие личной информации поставщиком интернет-услуг без письменного согласия потребителя.

NY SB 1180
Статус: Не выполнено — Отложено
Запрещает поставщикам интернет-услуг раскрывать личную информацию, если потребитель просит не распространять его или ее информацию, определяет условия, делает исключения, налагает гражданско-правовые санкции.

NY SB 1203
Статус: Не выполнено — Отложено
Устанавливает закон о конфиденциальности биометрических данных, требует от частных лиц, владеющих биометрическими идентификаторами или биометрической информацией, разработать письменную политику, устанавливающую график хранения и руководящие принципы для безвозвратного уничтожения биометрических идентификаторов и биометрической информации, когда первоначальная цель сбора или получения таких идентификаторов или информации была достигнута или в течение трех лет после последнего взаимодействия физического лица с частной организацией, в зависимости от того, что произойдет раньше.

NY SB 1204
Статус: Ошибка — отложено
Относится к использованию функций распознавания голоса в некоторых продуктах.

NY SB 1464
Статус: Ошибка — Отложено
Требуется, чтобы требования интернет-провайдера сохраняли конфиденциальность всей информации о клиенте, если только клиент не предоставил письменное согласие.

NY SB 2323
Статус: Не выполнено — Отложено
Относится к принятию закона о защите прав потребителей в Интернете, определяет условия, предусматривает, что рекламная сеть должна размещать четкое и заметное уведомление на главной странице своего собственного веб-сайта о своей политике конфиденциальности и практика сбора и использования данных, связанная с его деятельностью по доставке рекламы, делает соответствующие положения.

NY SB 2398
Статус: Не выполнено — Отложено
Вносит поправки в Общий закон о коммерческой деятельности, касается личной информации держателя кредитной или дебетовой карты, добавляет почтовый индекс, адрес электронной почты и номера домашнего, мобильного и рабочего телефонов в личная информация защищена.

NY SB 2500
Статус: Не выполнено — Отложено
Относится к запрету частным лицам использовать биометрические данные для любой рекламы, детализации, маркетинга, продвижения или любой другой деятельности, которая предназначена для влияния на объем бизнеса, продажи или рынок поделиться или оценить эффективность маркетинговой практики или маркетингового персонала.

NY SB 3147
Статус: Не выполнено — Отложено
Требует от розничных продавцов размещать предупреждающие знаки об отслеживании покупателей через сотовые телефоны или другие электронные устройства, предусматривает гражданско-правовые санкции.

NY SB 3970
Статус: Не выполнено — Отложено
Запрещает продажу отчетов о занятости без письменного согласия потребителя при условии, что такие отчеты о занятости должны включать, помимо прочего, информацию о заработной плате и доходах, отработанных часах, потребительской истории и информация о медицинском страховании.

NY SB 4411
Статус: Не выполнено — Отложено
Предоставляет потребителю право запрашивать у компании раскрытие категорий и конкретных частей личной информации, которую она собирает о потребителе, категорий источников, из которых эта информация собирается, деловые цели сбора или продажи информации, а также категории третьих лиц, которым передается информация.

NY SB 5245
Статус: Ошибка — Отложено
Относится к продаже личной информации поставщиком интернет-услуг.

NY SB 5642
Статус: Не выполнено — Отложено
Вводит в действие Закон штата Нью-Йорк о конфиденциальности, требующий от компаний раскрывать свои методы деидентификации личной информации, предусматривающий специальные меры безопасности в отношении обмена данными и позволяющий потребителям получать имена всех организаций с которым передается их информация, создает специальный счет для финансирования нового Управления конфиденциальности и защиты данных.

NY SB 6848
Статус: не выполнено — отложено
Относится к требованию регистрации брокеров данных и указанию генеральному прокурору поддерживать веб-сайт таких регистраций.

NY SB 7641
Статус: Ошибка — отложено
Требует от производителей интеллектуальных динамиков получения подписанного письменного разрешения от пользователей перед сохранением голосовых записей.

Пенсильвания

PA HB 1049
Статус: не выполнено — отложено
Обеспечивает конфиденциальность данных потребителей, обеспечивает права потребителей и обязанности предприятий, связанные со сбором личной информации, а также обязанности Генерального прокурора.

Род-Айленд

RI HB 7778
Статус: Не выполнено — Отложено
Разрабатывает Закон о прозрачности и защите конфиденциальности, требующий от поставщиков онлайн-услуг и коммерческих веб-сайтов, которые собирают, хранят и продают информацию, позволяющую установить личность, раскрывать информацию о том, какие категории информации, позволяющей установить личность, они собирают и каким третьим лицам они продают информацию.

RI SB 2430
Статус: Не выполнено — Отложено
Вводит Закон о защите конфиденциальности потребителей, требует от предприятий, которые собирают, хранят или продают личную информацию, уведомлять потребителей и раскрывать информацию и использование информации предприятиями, при условии, что потребители могут отказаться и удалить личную информацию.

Южная Каролина

SC HB 4812
Статус: Не выполнено — Отложено
Вводит в действие Закон о конфиденциальности биометрических данных, устанавливает определенные требования для бизнеса, который собирает биометрическую информацию потребителя, позволяет потребителю запрашивать у предприятия удаление собранной биометрической информации и запрещает продажи биометрической информации, устанавливает определенные стандарты обслуживания бизнеса, собирающего биометрическую информацию, устанавливает порядок отказа потребителя от продажи биометрической информации.

Южная Дакота

SD SB 185
Статус: Ошибка
Регулирует использование технологии распознавания лиц.

Теннесси

TN SB 1841
Статус: Не выполнено — Отложено
Запрещает коммерческому предприятию, занимающемуся генетическим тестированием, напрямую связанному с потребителем, делиться данными генетического тестирования, позволяющими установить личность, или другой идентифицирующей личность информацией о потребителе, с третьей стороной без явного письменного согласия потребителем или повесткой в суд или постановлением суда.

Юта

UT SB 249
Статус: Ошибка
Вводит в действие Закон штата Юта о конфиденциальности потребителей.

Вирджиния

VA HB 473
Статус: Ожидается — перенос
Относится к персональным данным, относится к Закону о конфиденциальности штата Вирджиния, дает потребителям право доступа к своим данным и определяет, были ли они проданы брокеру данных, требуется контролер, определенный в законопроект как лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, для облегчения запросов на осуществление прав потребителей в отношении доступа, исправления, удаления, ограничения обработки, переносимости данных, возражений и профилирования .

VA HB 955
Статус: Ожидается — Перенос
Относится к защите конфиденциальности детей в Интернете, запрещает любое лицо, которое управляет веб-сайтом в коммерческих целях и собирает или хранит личную информацию от пользователей или посетителей такого веб-сайта или в Интернете или о них. услугу от раскрытия личной информации, полученной от несовершеннолетнего, для любых целей, за исключением случаев, когда личная информация предоставляется лицу, отличному от оператора, который обеспечивает поддержку внутренних операций веб-сайта, онлайн-сервиса или онлайн-приложения.

VA SB 101
Статус: Принят
Относится к сканированию информации из водительских прав, позволяет продавцу сканировать машиночитаемую зону удостоверения личности или водительских прав, выданных Департаментом автотранспортных средств, для проверки подлинности таких или для проверки личности физического лица, когда физическое лицо запрашивает услугу в соответствии с членством или соглашением об обслуживании, позволяет продавцу проводить такое сканирование для проверки личности.

VA SB 641
Статус: Ожидается — Перенос
Относится к гражданскому иску, относится к продаже персональных данных, требует, чтобы лицо, которое распространяет, получает, хранит или собирает персональные данные о потребителе за плату, применяло меры безопасности для защищать конфиденциальность персональных данных потребителя, получать прямо выраженное согласие несовершеннолетнего перед продажей персональных данных такого несовершеннолетнего, предоставлять потребителям доступ к их собственным персональным данным, хранящимся у организации, и воздерживаться от хранения или продажи данных .

Вермонт

VT HB 157
Статус: Сбой — Отложено
Относится к принятию минимальных стандартов безопасности для подключенных устройств.

VT HB 899
Статус: не выполнено — отложено
Относится к продвижению защиты прав потребителей в области данных и технологий.

Вашингтон

WA HB 1503
Статус: Не выполнено — отложено
Касается регистрации и обязательств по защите прав потребителей брокеров данных.

WA HB 1854
Статус: Ошибка — отложено
Защищает данные потребителей.

WA HB 2046
Статус: Ошибка — отложено
Повышает прозрачность данных потребителей.

WA HB 2742
Статус: не выполнено — отложено
Касается управления и надзора за личными данными.

WA HB 2759
Статус: Ошибка — отложено
Создает билль о правах с данными потребителей.

WA SB 5376
Статус: Ошибка — отложено
Защищает данные потребителей.

WA SB 5377
Статус: не выполнено — отложено
Касается продажи данных и управления.

WA SB 6281
Статус: Не выполнено – отложено
Касается управления и надзора за личными данными.

Висконсин

WI AB 870
Статус: Ошибка
Относится к доступу потребителя к персональным данным, обрабатываемым контролером, предусматривает штраф.

WI AB 871
Статус: Ошибка
Относится к удалению персональных данных потребителя контролерами, предусматривает штраф.

WI AB 872
Статус: Ошибка
Запрещает контролерам использовать личные данные потребителей, предусматривает штраф.

WI SB 851
Статус: Не выполнено
Касается конфиденциальности данных потребителей, предоставляет право устанавливать правила, предусматривает штраф.

Западная Вирджиния

WV HB 4106
Статус: не выполнено — отложено
Относится к Закону о конфиденциальности биометрической информации.

WV HB 4898
Статус: Не выполнено — отложено
Взимает общий налог на услуги по интеллектуальному анализу данных с коммерческих операторов данных.

WV SB 260
Статус: Не выполнено — отложено
Сбор личной информации предприятиями розничной торговли для определенных целей.

Пуэрто-Рико

PR SB 1231
Статус: Ожидается
Разрабатывает Закон о защите цифровой конфиденциальности, чтобы защитить личную информацию потребителей и гарантировать право на неприкосновенность частной жизни в цифровую эпоху.

Положения и условия LexisNexis

Дополнительные ресурсы

Будьте в курсе глобальных обновлений конфиденциальности

Поскольку ситуация с конфиденциальностью продолжает стремительно развиваться, страница глобальных обновлений конфиденциальности OneTrust DataGuidance — это ресурс для отслеживания всех предстоящих глобальных обновлений конфиденциальности.На этой странице описаны законы о конфиденциальности со всего мира, о которых вам следует знать, их законодательный статус и ключевые даты, которые вам следует знать. Используйте приведенное ниже оглавление для быстрого обзора будущих обновлений конфиденциальности или щелкните каждое обновление, чтобы перейти непосредственно к дополнительной информации, юридическим текстам и дополнительным ресурсам.

Загрузить инфографику

Последнее обновление страницы: 12 января 2022 г.

Следующие законы были добавлены или обновлены в последней версии:

Африка

Замбия: Закон о защите данных №3 из 2021

Азиатско-Тихоокеанский регион

Шанхай: Правила данных
Шэньчжэнь: Шэньчжэньская специальная экономическая зона Данные Регламент
Индия: Закон о защите персональных данных, 2019 г.

Ближний Восток

Израиль: Закон о защите конфиденциальности (поправка №.14) 5722-2022
Иордания: Проект закона о персональных данных

Африка

Азиатско-Тихоокеанский регион

Канада

Карибский бассейн

СНГ

Европа

Латинская Америка

Ближний Восток

США

Африка

Ботсвана

Закон: Закон о защите данных, 2018 г.

Статус: Действует

Компания OneTrust DataGuidance 20 октября 2021 г. совместно с Сенвело Монисе, помощником поверенного Botlhole Law Group, и Леседи Дингаке, помощником юриста Desai Law Group, подтвердила, что 15 октября 2021 года в правительственной газете Ботсваны было объявлено, что данные Закон о защите (Закон No.32 от 2018 года) («Закон») вступил в силу после издания приказа 2021 года о Законе о защите данных (дата вступления в силу) министра по делам президента, управления и государственного управления.

Ресурсы:

Наверх

Южная Африка

Законодательство: Закон о защите личной информации от 2013 г. (Закон 4 от 2013 г.)

Статус: Частично вступил в силу

22 июня 2020 г. президент Южной Африки объявил о начале действия некоторых разделов Закона о защите личной информации 2013 г. («POPIA»).В частности, разделы 2–38, 55–109, 111 и 114(1), (2) и (3) вступят в силу 1 июля 2020 года. Кроме того, разделы 110 и 114(4) вступят в силу позднее. от 30 июня 2021 г.

Кроме того, 24 марта 2021 года регулирующий орган выпустил заявление для СМИ, отметив 100 дней до крайнего срока, когда государственные и частные органы должны обеспечить соблюдение POPIA. В частности, Регулятор указал, что будет уделять первоочередное внимание следующему:

рассмотрение заявок на утверждение кодексов поведения;
обработка комментариев общественности к проекту руководящих принципов регистрации сотрудников по вопросам информации;
рассмотрение заявлений на получение предварительного разрешения;
доработка руководства по исключениям и изъятиям из POPIA;
доработка шаблона уведомления о нарушениях безопасности в соответствии с разделом 22 POPIA; и
дорабатывает руководство по обработке личной информации за границей.

Кроме того, некоторые разделы POPIA и Регламента, например, регламентирующие обработку персональных данных и права субъектов данных, не вступили в силу до 1 июля 2020 г. Кроме того, Регламент 4 вступил в силу 1 мая 2021 г., а Регламент 5 вступили в силу 1 марта 2021 года, а остальные положения вступили в силу 1 июля 2021 года.

Ресурсы:

Наверх

Руанда

Закон: Закон о защите личных данных и конфиденциальности

Статус: Действует

Закон №058/2021 от 13 октября 2021 г. «О защите персональных данных и конфиденциальности» был опубликован 15 октября 2021 г. в Официальном вестнике Руанды («Закон»). Закон вступил в силу с момента его опубликования в «Официальном вестнике».

Ресурсы:

Наверх

Уганда

Закон: Положение о защите данных и конфиденциальности

Статус: Действует

Положения о защите данных и конфиденциальности 2021 года были утверждены и опубликованы в Официальном вестнике 12 марта 2021 года.

Ресурсы:

Наверх

Замбия

Закон: Закон о защите данных № 3 от 2021 г.

Статус: Принят

Закон о защите данных № 3 от 2021 года был принят 23 марта 2021 года парламентом Замбии.

Ресурсы:

Наверх

Зимбабве

Закон: Закон о защите данных

Статус: Принят

OneTrust DataGuidance подтвердил 5 декабря 2021 года вместе со Стивом Муньярадзи Чикенгежа, сотрудником DLA Piper Africa Zimbabwe — Manokore Attorneys, что Закон о защите данных [глава 11:12] («Закон») был принят 3 декабря 2021 года

Ресурсы:

Наверх

Азиатско-Тихоокеанский регион

Австралия

Закон: Пересмотр Закона о конфиденциальности 1988 г. (№.119, 1988) (с поправками)

Статус: В законодательном процессе

Публичные консультации по пересмотренному Закону о конфиденциальности были начаты 10 января 2022 года. Консультации направлены на пересмотр закона, чтобы гарантировать, что структура конфиденциальности расширяет возможности потребителей, защищает их данные и служит экономике Австралии. Материалы и отзывы, которые они получат, послужат основой для окончательного отчета по обзору.

Ресурсы:

Наверх

Австралия

Закон: Поправка к законодательству о конфиденциальности (улучшение конфиденциальности в Интернете и другие меры), законопроект 2021 г.

Статус: В законодательном процессе

Правительство Австралии принимает предложения по законопроекту 2021 года о внесении поправок в законодательство о конфиденциальности (улучшение конфиденциальности в Интернете и другие меры) («Законопроект о конфиденциальности в Интернете») до 6 декабря 2021 года.

Ресурсы:

Наверх

Бруней-Даруссалам

Закон: Проект приказа о защите персональных данных

Статус: В законодательном процессе

Управление индустрии инфокоммуникационных технологий Брунея-Даруссалама («AITI») инициировало 20 мая 2021 года общественные консультации по проекту своего приказа о защите персональных данных («PDPO»). В частности, PDPO устанавливает всеобъемлющие обязательства перед контролерами данных, посредниками и обработчиками, включая обязательное назначение сотрудника по защите данных, получение согласия до использования и обработки личной информации, ограничение на использование данных для целей сообщается субъектам данных и уведомляет органы власти об утечке данных в течение трех календарных дней.Кроме того, PDPO требует от контролеров данных соблюдения прав субъектов данных в соответствии с PDPO, которое устанавливает право на отзыв согласия, право на доступ к информации, право на исправление и переносимость данных.

Ресурсы:

Наверх

Китай

Закон: Закон о защите личной информации Китайской Народной Республики

Статус: Действует

PIPL вступил в силу 1 ноября 2021 года.

Ресурсы:

Наверх

Китай

Закон: Закон о безопасности данных

Статус: Действует

Закон о безопасности данных вступил в силу 1 сентября 2021 года.

Ресурсы:

Наверх

Гонконг

Закон: Персональные данные (Конфиденциальность) (Поправка) Законопроект 2021

Статус: Действует

Уполномоченный по вопросам конфиденциальности персональных данных (PCPD) объявил 8 октября 2021 г., что Закон о персональных данных (конфиденциальность) (поправка) 2021 г. («Законопроект о поправках к PDPO») был опубликован и вступил в силу 8 октября 2021 г.

Ресурсы:

Наверх

Индия

Закон: Закон о защите персональных данных, 2019 г.

Статус: В законодательном процессе

Лок Сабха, нижняя палата парламента, опубликовала 16 декабря 2021 года пересмотренный список предприятий на ту же дату, в котором подтвердилось, что Шри П.П. Чаудхари и Шри Маниш Тевари представили Объединенному парламентскому комитету («JPC») отчет о законопроекте о защите персональных данных от 2019 года («законопроект»).

Ресурсы:

Наверх

Индонезия

Закон: Проект Закона о защите персональных данных

Статус: Первое чтение

11 ноября 2021 года Палата представителей Республики Индонезия подтвердила, что она продолжит обсуждение проекта Закона о защите персональных данных, при этом время, отведенное для обсуждения, продлевается в третий раз.

Ресурсы:

Япония

Закон: Закон о защите личной информации (Закон №.57 от 2003 г. с поправками 2015 г.) («APPI»)

Статус: Изменения вступают в силу с 1 апреля 2022 года

Комиссия по защите личной информации (PPC) объявила 24 марта 2021 г., что поправки к Закону о защите личной информации (Закон № 57 от 2003 г. с поправками, внесенными в 2015 г.) (APPI) вступят в силу. вступает в силу 1 апреля 2022 г. с указанием полной даты вступления в силу 1 апреля 2022 г., но переходные меры в отношении попытки предоставления персональных данных третьей стороне в соответствии со статьей 23(2) APPI вступят в силу 1 октября 2021 г.

Ресурсы:

Наверх

Мьянма

Закон: Поправки к Закону о защите частной жизни и безопасности граждан (2017 г.) и Закону об электронных сделках (2004 г.)

Статус: Неизвестно

OneTrust DataGuidance подтвердил 18 мая 2021 г. вместе с доктором Россом Тейлором, советником и руководителем отдела финансовых услуг Tilleke & Gibbins, что Совет государственной администрации принял в феврале 2021 г. поправки к Закону о защите конфиденциальности и безопасности граждан ( 2017 г.) и Закон об электронных сделках (2004 г.).

Ресурсы:

Наверх

Монголия

Закон: Законопроект о защите личной информации

Статус: Представлено для обсуждения

OneTrust DataGuidance подтвердил 4 июля 2021 года вместе с Эрдэнэдэлаем Одхуу, партнером ТОО «Мелвилл Эрдэнэдалай», что в настоящее время парламент Монголии обсуждает пять законопроектов об информации и информационной безопасности, а именно: Закон о защите личной информации; Закон об общественной информации; Закон об информационной прозрачности и праве на информацию; Пересмотренный Закон об электронной подписи; и Закон о кибербезопасности.

Ресурсы:

Наверх

Пакистан

Закон: Закон о защите персональных данных 2021 г. (август 2021 г.)

Статус: Опубликовано для общественного обсуждения

MOITT опубликовал пересмотренный проект закона о защите персональных данных для общественного обсуждения.

Ресурсы:

Наверх

Филиппины

Закон: Замещающий законопроект о внесении поправок в Закон о конфиденциальности данных от 2012 года (Республиканский закон №.10173)

Статус: Предложено

25 июня 2021 года Национальная комиссия по защите конфиденциальности (NPC) опубликовала заявление о недавних усилиях по ужесточению действующего законодательства о конфиденциальности на Филиппинах после 55-го Форума органов управления конфиденциальностью Азиатско-Тихоокеанского региона (APPA). В частности, ВСНП подчеркнул, что Комитет по информационным и коммуникационным технологиям Палаты представителей одобрил альтернативный законопроект о внесении поправок в Закон о конфиденциальности данных от 2012 года (Республиканский закон № 10173).

Ресурсы:

Наверх

Шанхай

Закон: Шанхайские правила данных

Статус: Действует

Муниципальное народное правительство Шанхая объявило 29 ноября 2021 года, что Постоянный комитет 15-го Съезда народных представителей Шанхая принял Шанхайские правила обработки данных. Положение введено в действие с 1 января 2022 года.

Ресурсы:

Наверх

Шэньчжэнь

Закон: Шэньчжэньская специальная экономическая зона Данные Регламент

Статус: Действует

Постоянный комитет Шэньчжэньского муниципального собрания народных представителей объявил 7 июля 2021 года о принятии Постановления о данных Шэньчжэньской особой экономической зоны.Положение введено в действие с 1 января 2022 года.

Ресурсы:

Наверх

Южная Корея

Закон: Поправки к Закону о защите личной информации 2011 г. (с поправками 2020 г.) («PIPA»)

Статус: В законодательном процессе

Комиссия по защите личной информации («PIPC») опубликовала 17 мая 2021 г. свои публичные консультации по поправкам к Закону о защите личной информации 2011 г. (с поправками 2020 г.) («PIPA»).

Ресурсы:

Наверх

Шри-Ланка

Закон: Законопроект о регулировании обработки персональных данных (2021)

Статус: В законодательном процессе

20 января 2022 года парламент Шри-Ланки объявил, что законопроект о PDP представлен для первого чтения, заседание которого было перенесено на 21 января 2022 года.

Ресурсы:

Наверх

Таиланд

Закон: Проект указа об отсрочке вступления в силу Закона о защите персональных данных от 2019 года (далее — ЗПДП)

Статус: Пройдено

Указ об отсрочке вступления в силу Закона о защите персональных данных 2019 года до 1 июня 2022 года был опубликован 8 мая 2021 года в Королевской газете Таиланда.Отсрочка вступает в силу после обсуждения правительством Таиланда и Министерством цифровой экономики и общества растущей озабоченности по поводу готовности компаний соблюдать PDPA и влияния пандемии COVID-19 на такие предприятия.

Ресурсы:

Наверх

Вьетнам

Закон: Указ № 70/2021/ND-CP Внесение изменений и дополнений в несколько статей Указа №181/2013/ND-CP от 14 ноября 2013 года в соответствии с Законом о рекламе

Статус: В законодательном процессе

26 июля 2021 года Министерство информации и коммуникаций (МИК) объявило, что Правительство обнародовало Проект Указа № 70/2021/ND-CP, вносящий изменения и дополнения в несколько статей Указа № 181/2013/ND. — CP от 14 ноября 2013 года в соответствии с Законом о рекламе («Указ 70»).

Ресурсы:

Наверх

Вьетнам

Закон: Проект Постановления о защите персональных данных

Статус: В законодательном процессе

Начато обсуждение проекта указа 9 февраля 2021 года.В случае принятия законопроект станет первым всеобъемлющим законодательством о защите данных во Вьетнаме, охватывающим такие темы, как введение определений, включая личные данные, конфиденциальные данные и обработку данных, права субъектов данных и согласие, а также принципы данных, такие как ограничение цели, сохранение данных и трансграничная передача данных.

Ресурсы:

Наверх

Канада

Канада — федеральный номер

Закон: Законопроект C-11 о Законе о внедрении цифровой хартии, 2020 г.

Статус: В законодательном процессе

Законопроект

внесен в Палату общин 17 ноября 2020 г.В случае принятия законопроект введет в действие Закон о защите конфиденциальности потребителей («CPPA»), который защитит личную информацию отдельных лиц, регулируя сбор, использование или раскрытие личной информации организациями в ходе коммерческой деятельности, и отменит часть 1 PIPEDA и изменить краткое название PIPEDA на Закон об электронных документах.

Управление уполномоченного по вопросам конфиденциальности Канады («OPC») представило 11 мая 2021 г. комментарии к законопроекту C-11, Закону о реализации цифровой хартии, 2020 г., в Постоянный комитет по доступу к информации, ряд улучшений, которые, по мнению OPC, необходимы как для содействия ответственным инновациям, так и для защиты прав канадцев на неприкосновенность частной жизни.

Ресурсы:

Наверх

Квебек

Закон: Законопроект 64, Закон о модернизации законодательных положений в отношении защиты личной информации

Статус: Пройдено

Законопроект 64 получил королевское одобрение 22 сентября 2021 года в Национальной ассамблее Квебека.

Ресурсы:

Наверх

Карибский бассейн

Британские Виргинские острова

Закон: Закон о защите данных, 2021 г.

Статус: Закон вступает в силу в день, назначенный министром путем опубликования уведомления в Бюллетене, и для разных положений Закона могут быть назначены разные даты.

Закон о защите данных 2021 года был принят 13 апреля 2021 года в Официальном вестнике. Закон представляет собой всеобъемлющее законодательство о защите данных, касающееся, среди прочего, общих принципов конфиденциальности, прав субъектов данных и создания Управления Комиссара по информации.

Ресурсы:

Наверх

СНГ

Беларусь

Закон: Закон о персональных данных

Статус: Действует

Закон о персональных данных вступил в силу 15 ноября 2021 года.

Ресурсы:

Наверх

Казахстан

Закон: О внесении изменений в Закон РК от 21 мая 2013 года № 94-V «О персональных данных и их защите»

Статус: Предложенные поправки были представлены для общественного обсуждения без четкого графика даты вступления в силу.

Министерство цифрового развития, инноваций и аэрокосмической отрасли (МЦИИР) опубликовало 13 апреля 2021 года проект изменений в Закон РК от 21 мая 2013 года №№ 94-V о персональных данных и их защите. Поправки предусматривают, среди прочего, требования к регистратору и уведомлению операторов обработки данных, запрет на использование общедоступных персональных данных без согласия, введение права на удаление, более строгие требования к информированию субъектов данных об использовании их персональных данных. данные, а также новые меры и обязательства по обеспечению безопасности данных.

Ресурсы:

Наверх

Российская Федерация

Закон: Внесение изменений в Федеральный закон от 27 июля 2006 г.№ 152-ФЗ о персональных данных

Статус: Действует

Поправки вступили в силу 1 марта 2021 года и требуют, чтобы операторы связи получали согласие абонентов до продажи их персональных данных, включая номера телефонов, пол и возраст. Таким образом, при отсутствии согласия передача персональных данных будет запрещена.

Ресурсы:

Юридический текст (доступно только на русском языке)

Обзор юрисдикции OneTrustDataGuidance

Наверх

Российская Федерация

Закон: Счет №.1176731-7 о деятельности иностранных лиц в информационно-телекоммуникационной сети «Интернет» на территории Российской Федерации

Статус: Пройдено

17 июня 2021 года Дума объявила о принятии законопроекта № 1176731-7 с изменениями, внесенными после третьего чтения.

Ресурсы:

Наверх

Украина

Закон: Проект Закона о защите данных

Статус: В законодательном процессе

Верховная Рада Украины объявила 7 июня 2021 года, что он получил проект закона о защите данных, в котором, среди прочего, рассматриваются основания для обработки личной и конфиденциальной информации, права субъектов данных, обязанности в отношении данных. контролеров и операторов, включая принятие концепции «Конфиденциальность по замыслу» и требований к безопасности обработки, а также проведение оценок воздействия на защиту данных.

Ресурсы:

Наверх

Узбекистан

Закон: Законопроект об улучшении правовой базы для персональных данных

Статус: В законодательном процессе

Законодательная палата Олий Мажлиса Республики Узбекистан («Палата») 25 мая 2021 года объявила о принятии в первом чтении законопроекта о совершенствовании нормативно-правовой базы в отношении персональных данных. В частности, Палата констатировала увеличение количества нарушений, совершаемых в результате неправомерного использования персональных данных, а также расширение использования персональных данных через Интернет и другие сети.

Ресурсы:

Наверх

Узбекистан

Закон: Законопроект о рекламе

Статус: В законодательном процессе

Законодательная палата Олий Мажлиса Республики Узбекистан 21 мая 2021 года внесла на общественное обсуждение проект закона «О рекламе». В частности, в случае принятия законопроект заменит Закон Республики Узбекистан от 25 декабря 1998 года №№ 723-I о рекламе для создания благоприятных условий для развития рекламного рынка в Узбекистане.

Ресурсы:

Наверх

Европа

Андорра

Закон: Закон 29/2021 от 28 октября о защите персональных данных

Статус: Пройдено

Официальный бюллетень Княжества Андорра опубликовал 17 ноября 2021 года Закон 29/2021 от 28 октября о защите персональных данных.В Законе отмечается, что он вступит в силу в течение шести месяцев.

Ресурсы:

Наверх

ЕС

Закон: Предложение о постановлении об уважении частной жизни и защите персональных данных в электронных сообщениях и об отмене Директивы 2002/58/EC (Положение о конфиденциальности и электронных сообщениях) («Проект Положения о конфиденциальности»)

Статус: Совет и Парламент начнут переговоры по тексту.

Совет Европейского Союза согласовал переговорный мандат с Европейским парламентом. В случае принятия Постановление об электронной конфиденциальности заменит Директиву о конфиденциальности и электронных коммуникациях (2002/58/EC) (с поправками) («Директива об электронной конфиденциальности»).

Ресурсы:

Наверх

ЕС

Закон: Директива (ЕС) 2019/1937 от 23 октября 2019 г. о защите лиц, сообщающих о нарушениях законодательства Союза

Статус: Действует.Ожидается внедрение государствами-членами

Директива была опубликована в Официальном журнале ЕС 16 ноября 2019 года и вступила в силу на двадцатый день после публикации. Государства-члены должны внедрить Директиву в национальное законодательство до 17 декабря 2021 года.

Ресурсы:

Наверх

ЕС

Законодательство: Пересмотренная Директива по безопасности сетей и информационных систем («Директива NIS 2»)

Статус: В законодательном процессе

Проект пересмотренной директивы NIS был опубликован 16 декабря 2020 года.В частности, Директива NIS 2, среди прочего, добавляет новые сектора, исходя из их критического характера, тем самым расширяя сферу действия действующей Директивы NIS, а также устраняет различие между поставщиками цифровых услуг и операторами основных услуг.

Ресурсы:

Наверх

ЕС

Закон: Положение о системе цифровых зеленых сертификатов для облегчения свободного передвижения во время пандемии COVID-19

Статус: Пройдено

14 июня 2021 года Европейская комиссия объявила о подписании Регламента о цифровом сертификате ЕС о COVID.

Регламент будет применяться в течение 12 месяцев с 1 июля 2021 года.

Ресурсы:

Наверх

ЕС

Закон: Предложение о Постановлении об установлении согласованных правил в отношении искусственного интеллекта

Статус: В законодательном процессе

21 апреля 2021 года Европейская комиссия опубликовала свое предложение о постановлении о введении согласованных правил в отношении искусственного интеллекта («Предлагаемое положение об ИИ»), о постановлении о машиностроении («Предлагаемое положение о машиностроении»), а также в качестве нового Координированного плана по ИИ.В частности, Комиссия подчеркнула, что предложения направлены на то, чтобы превратить Европу в глобальный центр надежного ИИ, и что правила будут применяться напрямую во всех государствах-членах на основе перспективного определения ИИ.

Ресурсы:

Наверх

Германия

Закон: Закон о защите данных и защите частной жизни в телекоммуникациях и телекоммуникациях

Статус: Пройдено

Федеральный парламент Германии («Бундестаг») принял 20 мая 2021 года законопроект, регулирующий защиту данных и защиту конфиденциальности в телекоммуникациях и телекоммуникациях («TTDSG»).TTDSG вступит в силу 1 декабря 2021 года.

Ресурсы:

Наверх

Италия

Закон: Национальное агентство кибербезопасности согласно Закону № 109 от 4 августа 2021 года

Статус: Действует

Указ № 82 от 14 июня 2021 года («Указ») был опубликован 4 августа 2021 года в «Официальном вестнике». В частности, Указ содержит неотложные положения о кибербезопасности, определение национальной архитектуры кибербезопасности, а также создание Национального агентства кибербезопасности в соответствии с Законом №.109 от 4 августа 2021 года. Закон вступил в силу 5 августа 2021 года, на следующий день после его публикации в Официальном вестнике

Ресурсы:

Наверх

Швейцария

Законодательство: Пересмотренный Федеральный закон о защите данных 1992 г. (‘FADP’)

Статус: Принято и ожидает утверждения Государственным советом

Пересмотренный FADP был опубликован в официальном бюллетене 6 октября 2020 года. Пересмотренный FADP в целом стремится привести его в соответствие с GDPR, внося всеобъемлющие положения по вопросам защиты данных.

Ресурсы:

Наверх

Латинская Америка

Бразилия

Закон: Закон № 13.709 от 14 августа 2018 г., Общий закон о защите персональных данных (в редакции Закона № 13.853 от 8 июля 2019 г.) («LGPD»)

Статус: Действует

LGPD вступил в силу 18 сентября 2020 г. Однако положения о его применении вступили в силу 1 августа 2021 г.

Ресурсы:

Наверх

Эквадор

Закон: Закон о защите персональных данных

Статус: Опубликовано в официальном реестре

Органический закон о защите персональных данных был опубликован 21 мая 2021 года в Официальном реестре.У организаций есть два года с даты публикации в Официальном реестре, чтобы начать процесс адаптации к закону.

Ресурсы

Наверх

Сальвадор

Закон : Закон о защите персональных данных и данных Habeas

Статус : В архиве

OneTrust DataGuidance подтвердил 8 июня 2021 года совместно с Фернандо Фарраром, юристом BLP Legal, что Законодательный декрет №.875 Закона о защите персональных данных и данных Habeas было наложено вето Президентом 7 мая 2021 года по причине неудобств. Фаррар отметил, что Комиссия по экономике Законодательного собрания навсегда заархивировала Закон о защите персональных данных и данных Habeas 20 мая 2021 года.

Ресурсы:

Наверх

Мексика

Закон : Законопроект о внесении изменений в Федеральный закон о защите персональных данных, находящихся в распоряжении частных лиц

Статус : В законодательном процессе

Сенатор Хосе Альберто Галарса Вильясеньор из Парламентской группы Гражданского движения представил 29 апреля 2021 года законопроект о внесении изменений и дополнении различных положений в Федеральный закон о защите персональных данных, находящихся в распоряжении частных лиц, в отношении его территориального охвата.

Ресурсы:

Наверх

Панама

Закон: Исполнительный указ № 285 от 28 мая 2021 года, регулирующий Закон № 81 о защите персональных данных

Статус : Утверждено

28 мая 2021 года Национальное управление по обеспечению прозрачности и доступа к информации (ANTAI) объявило, что Президент Республики Панама утвердил Исполнительный указ № 285 от 28 мая 2021 года, который регулирует Закон №81 о защите персональных данных, который устанавливает принципы, права, обязанности и процедуры, регулирующие защиту персональных данных в Панаме.

Ресурсы:

Наверх

Парагвай

Закон : Законопроект о защите персональных данных Республики Парагвай

Статус : В законодательном процессе

Палата депутатов объявила 30 апреля 2021 года об официальном представлении законопроекта о защите персональных данных Республики Парагвай.Законопроект будет внесен на рассмотрение совещательных комиссий в Палате депутатов.

Ресурсы:

Наверх

Перу

Закон : Законопроект о создании Национального органа по прозрачности, доступу к публичной информации и защите персональных данных

Статус : В законодательном процессе

Совет министров одобрил 9 июня 2021 года законопроект о создании Национального органа по обеспечению прозрачности, доступа к публичной информации и защите персональных данных.

Ресурсы:

Наверх

Ближний Восток

ОАЭ — ADGM

Закон: Положение о защите данных 2021

Статус: Пройдено

Правила вступили в силу 14 февраля 2021 года. Однако они предусматривают 12-месячный переходный период для существующих предприятий и шестимесячный переходный период для новых предприятий. Регламент направлен на приведение режима защиты данных ADGM в соответствие с международными стандартами, такими как GDPR.

Ресурсы:

Наверх

Федеральный номер ОАЭ

Закон: Федеральный декрет-закон № 45 от 2021 г. «О защите персональных данных»

Статус: Пройдено

28 ноября 2021 года Кабинет министров ОАЭ объявил о принятии Федерального декрета-закона № 45 от 2021 года о защите персональных данных.

Ресурсы:

Наверх

Израиль

Закон: Закон о защите конфиденциальности (поправка №.14) 5722-2022

Статус: В законодательном процессе

5 января 2021 года израильский парламент вынес на рассмотрение в первом чтении законопроект о защите частной жизни (поправка № 14) 5722-2022, вносящий поправки в Закон о защите частной жизни 5741-1981.

Ресурсы:

Наверх

Иордания

Закон: Законопроект о защите персональных данных от 2021 г.

Статус: В законодательном процессе

Канцелярия премьер-министра сообщила 30 декабря 2021 года, что Совет министров одобрил 29 декабря 2021 года проект закона о защите персональных данных от 2021 года.

Ресурсы:

Наверх

Катар — Финансовый центр Катара

Закон: Положения о защите данных 2021 г. и Правила защиты данных 2021 г. (ранее Положения о защите данных 2005 г. и Правила защиты данных 2005 г.)

Статус: Утверждено (вступает в силу 21 мая 2022 г.)

21 декабря 2021 года Управление финансового центра Катара (QFCA) выпустило Положения о защите данных 2021 и Правила защиты данных 2021, отметив, что новые правила вступят в силу через 6 месяцев после даты их выпуска (т.е. 21 мая 2022 г.), после чего Правила и положения о защите данных QFC от 2005 г. утрачивают силу.

Ресурсы:

Наверх

Саудовская Аравия

Закон: Закон о защите персональных данных

Статус: Пройдено

14 сентября 2021 года Закон о защите персональных данных был одобрен Советом Министров.

Ресурсы:

США

Калифорния

Законодательство: Дополнительные правила в соответствии с Законом штата Калифорния о конфиденциальности потребителей от 2018 г. (CCPA)

Статус: Утверждено

Генеральный прокурор Калифорнии (AG) объявил 15 марта 2021 года об утверждении Управлением административного права дополнительных положений к Закону Калифорнии о конфиденциальности потребителей от 2018 года (CCPA), затрагивающих разделы 999.306, 999.315, 999.326 и 999.332 Правил CCPA. В частности, AG отметила, что утвержденные правила запрещают «темные шаблоны», которые задерживают или скрывают процесс отказа от продажи личной информации, а также запрещают обременять потребителей непонятными формулировками или ненужными шагами, такими как принуждение их к нажатию через несколько экранов или с указанием причин, по которым им не следует отказываться.

Ресурсы:

Наверх

Калифорния

Законодательство: Закон штата Калифорния о правах на неприкосновенность частной жизни от 2020 г. (‘CPRA’)

Статус: Утверждено

CPRA был одобрен 4 ноября 2020 года.В частности, CPRA вносит поправки в Калифорнийский закон о конфиденциальности потребителей от 2018 года (CCPA) и требует от компаний, среди прочего, не раскрывать личную информацию потребителя по запросу потребителя, предоставлять потребителям возможность отказаться от получения их конфиденциальной информации. личная информация, как это определено в законе, используемая или раскрываемая для рекламы или маркетинга, получить разрешение, прежде чем собирать данные от потребителей моложе 16 лет, получить разрешение от родителя или опекуна, прежде чем собирать данные от потребителей моложе 13 лет, и исправить недостоверная личная информация потребителя по запросу потребителя.

CPRA вступит в силу 1 января 2023 г. и будет применяться только к личной информации, собранной после 1 января 2022 г.

Ресурсы:

Наверх

Вирджиния

Законодательство: Законопроект Палаты представителей 2307 о Законе о защите данных потребителей (‘CDPA’)

Статус: Пройдено

Законопроект Палаты представителей

(«HB») 2307 о внесении поправок в Кодекс штата Вирджиния путем добавления в Раздел 59.1 главы под номером 52, состоящей из разделов под номером 59.1-571–59.1-581, касающиеся Закона о защите данных потребителей («CDPA»), и сопутствующий ему законопроект 1392 Сената штата были подписаны 2 марта 2021 года губернатором штата Вирджиния.

CDPA вступит в силу 1 января 2023 года.

Ресурсы:

Наверх

Висконсин

Закон: 2021 Закон Висконсина 73

Статус: Принят

Управление Комиссара по страхованию (OCI) объявило 15 июля 2021 года, что губернатор Тони Эверс подписал Закон 73, который создает главу 601, подраздел IX Устава штата Висконсин о безопасности данных в страховании.

Ресурсы:

Наверх

Огайо

Право: HB 376

Статус: Введен

Законопроект Палаты представителей (‘HB’) 376 о введении в действие разделов 1355.01, 1355.02, 1355.03, 1355.04, 1355.05, 1355.06, 1355.07, 1355.08 и 1355.09 Закона штата Огайо о неприкосновенности частной жизни был внесен в Палату представителей штата Огайо. , 12 июля 2021 г., представители Рик Карфанья и Томас Холл.

Ресурсы:

Наверх

Колорадо

Закон: Законопроект Сената (SB) 21-190 о Законе о дополнительной защите данных, касающихся неприкосновенности частной жизни (CPA)

Статус: Ожидание подписи губернатора

Сенат Колорадо повторно принял 8 июня 2021 года законопроект Сената («SB») 21-190 о Законе о дополнительной защите данных, касающихся личной жизни, после рассмотрения поправок, внесенных в SB 21-190 Палатой представителей штата Колорадо. Представители.В частности, SB 21-190 теперь требует подписи губернатора, иначе он может стать законом без подписи губернатора, если на него прямо не наложено вето.

После принятия SB 21-190 вступит в силу 1 июля 2023 года.

Ресурсы:

Наверх

Пуэрто-Рико

Закон : законопроект Палаты представителей (‘HB’) 655 о Законе о конфиденциальности электронной информации

Статус : В законодательном процессе

Законопроект Палаты представителей (HB) 655 о Законе о конфиденциальности электронной информации был внесен 20 апреля 2021 года в Палату представителей Пуэрто-Рико.

Ресурсы:

Наверх

Будьте в курсе предстоящих вебинаров, новостей и аналитических материалов, следуя рекомендациям OneTrust DataGuidance в LinkedIn и Twitter.

Федеральный декрет-закон ОАЭ № 45 о защите персональных данных

Воскресенье, 12 декабря 2021 г.

Объединенные Арабские Эмираты присоединяются к Саудовской Аравии, приняв Федеральный декрет-закон № (45) от 2021 года о защите персональных данных («Закон о PPD»), чтобы ввести всеобъемлющее законодательство о защите данных в другую страну региона MENA.Примечательно, что PPD в целом отражает законодательство GDPR.

Закон о PPD не вступит в силу немедленно и будет дополнен выпуском исполнительных постановлений (выпущенных Управлением данных Эмирейтс, которое будет контролировать Закон о PPD), которые, как мы ожидаем, будут опубликованы в марте 2022 года. В соответствии с положениями Закона о ЗПД, у организаций будет еще шесть месяцев с даты принятия Исполнительного регламента для его соблюдения. Это дает компаниям окно примерно в десять месяцев с даты этого предупреждения, чтобы убедиться, что они полностью соответствуют требованиям.Как помнят те, кто знаком с внедрением GDPR, несмотря на то, что 10 месяцев может показаться достаточным временем для решения проблем, которые мы отмечаем ниже, эти процессы всегда занимают больше времени, чем предполагалось, и мы настоятельно рекомендуем всем предприятиям, подпадающим под действие Закона о PPD. принять немедленные меры в соответствии с направлениями, указанными в этом предупреждении.

Поэтому, пожалуйста, продолжайте читать, чтобы найти рекомендации по подготовке и реализации Закона о PPD, а также обзор самого Закона о PPD.

Что теперь делать?

Прежде чем углубиться в детали PPD, в этом разделе кратко описаны шаги, которые необходимо предпринять сейчас, чтобы начать подготовку к внедрению PPD.

Как и в случае с другими комплексными правилами конфиденциальности данных, первым шагом, который должны предпринять все предприятия, является идентификация персональных данных, которые в настоящее время обрабатываются. Создание специальной записи личных данных является не только требованием, но и будет использоваться для других действий, требуемых в соответствии с законом.
Вместе со своей ИТ-командой определите технические и организационные меры для защиты персональных данных. Разработайте план устранения любых несоответствий между этими мерами и четкими требованиями закона, а также передовыми национальными и международными стандартами и практикой.
Определите своих обработчиков и закройте все необходимые договорные пробелы, включая любые положения о трансграничной передаче.
Установить процедуры ответа на запросы субъектов данных об осуществлении права, предоставленного в соответствии с Законом о ЗПД.

Сравнение с GDPR

Заимствуя в значительной степени GDPR, Закон о PPD использует схему контроллера/процессора с аналогичными обязательствами по защите персональных данных субъектов данных.Закон о PPD имеет экстерриториальное применение к контролерам и процессорам, расположенным за пределами ОАЭ, которые обрабатывают персональные данные субъектов данных в стране. Закон о ЗПД запрещает трансграничную передачу персональных данных, за исключением случаев, когда получатель находится в стране с надлежащей защитой, имеет контракт на обеспечение надлежащей защиты или с явного согласия субъекта данных. Закон о ЗПД запрещает обработку персональных данных без согласия субъекта данных (концепция аналогична согласию в соответствии с GDPR), если не применяется исключение.Хотя многие из исключений одинаковы, примечательные дополнительные исключения включают исключения, которые отличаются от тех, которые предусмотрены GDPR, включая случаи, когда обработка связана с персональными данными, которые стали доступны и известны всем в результате действия субъекта данных, и те, которые обсуждаются ниже, относятся к на рабочее место. Основные обязательства контролеров и обработчиков включают:

контроль объема обрабатываемых персональных данных посредством ограничения цели, требования минимизации данных и ограничения хранения;
обязательство по обеспечению безопасности данных с помощью соответствующих технических и организационных процедур и мер, соответствующих рискам и лучшим стандартам
обязательство вести учет обработки;
требование поддерживать договорные соглашения с переработчиками;
набор обязательств, налагаемых на процессоры, который зеркально отражает обязательства, налагаемые на контроллеры; и
требование сообщать об утечках данных, хотя более подробная информация ожидается от Исполнительного регламента, включая сроки уведомления.

Закон о ЗПД также содержит набор прав субъекта данных, включая право на: (i) информацию; (ii) запросить перевод; (iii) исправление или удаление; (iv) ограничить обработку; (v) прекратить обработку; и (vi) возражать против автоматизированной обработки.

Закон о PPD на рабочем месте

Как и GDPR, широкое определение персональных данных в Законе о PPD охватывает данные сотрудников и их обработку в контексте трудоустройства. В отличие от GDPR, Закон о PPD содержит положения, относящиеся к отношениям между работником и работодателем.Закон о ЗПД применяется к обработке персональных данных каждого субъекта данных, который проживает в ОАЭ или имеет в нем рабочее место . Обработка без согласия субъекта данных считается законной, если это необходимо для целей (i) медицины труда для оценки трудоспособности работника; или (ii) контролером, выполняющим свои обязанности и реализующим свои законно установленные права в области трудового законодательства.

Другие отличия от GDPR

Закон о ЗПД включает несколько исключений из применимости, в том числе исключения в отношении типов данных для данных о состоянии здоровья (которые уже регулируются Законом о здравоохранении в области ИКТ), государственных данных (которые не определены) или личных банковских и кредитных данных, которые имеют законодательство, регулирующее защита и обработка таких данных — с учетом этого последнего пункта будет интересно посмотреть, добавит ли исполнительный регламент дополнительное мясо к кости в этом пункте.Кроме того, Закон о PPD не применяется в DIFC или ADGM, которые имеют собственное специальное законодательство о защите данных (которое также в значительной степени заимствовано из GDPR).

Исполнительный регламент

Хотя некоторые обязательства могут быть разъяснены в Исполнительном регламенте, возможно, наиболее важными будут административные санкции и другие действия, представляющие собой нарушение Закона. В Законе о PPD указано, что субъект данных может подать жалобу в Управление, и если будет доказано, что контролер или обработчик нарушает правила, может быть наложено административное наказание, но пока неизвестно, какими будут эти санкции.

Как и в случае с GDPR, внедрение Закона о PPD, вероятно, потребует много времени, поэтому рекомендуется начать этот процесс сейчас, чтобы избежать потенциальных административных санкций.

10 практических шагов для подготовки к Закону ОАЭ о защите персональных данных

Организации в Объединенных Арабских Эмиратах вступают в новую эру обеспечения конфиденциальности данных. В конце ноября, в рамках празднования своего 50-летия, федеральное правительство ОАЭ издало широкий набор правовых реформ, в том числе Федеральный декрет-закон ОАЭ №45 Закона о защите персональных данных от 2021 года. Хотя этот закон долго ждали эксперты по конфиденциальности данных в регионе, многие организации не готовы к новым обязательствам и средствам контроля, связанным с обработкой данных и реагированием на новые права субъектов данных. Поскольку до вступления в силу закона остается менее года, пострадавшим организациям необходимо принять незамедлительные меры для обеспечения соблюдения требований.

В последние годы правительство ОАЭ предпринимает многочисленные законодательные и правоприменительные шаги, направленные на приведение деловой и социальной среды страны в соответствие с передовой мировой практикой, чтобы поддержать ее развитие в качестве центра коммерции мирового класса.Закон о защите персональных данных, наряду с несколькими другими новыми законами, принятыми в рамках недавних правовых реформ, делает значительные шаги в этом направлении.

Одной из основных целей закона является обеспечение того, чтобы все персональные данные, обрабатываемые в ОАЭ, обрабатывались прозрачно, честно, справедливо, точно и надежно, а об утечках данных сообщалось властям, а также затронутым субъектам данных. Новые указы включают создание Управления данных Эмирейтс для мониторинга и обеспечения соблюдения Закона ОАЭ о защите персональных данных по всей стране.Как и Общий регламент ЕС по защите данных, этот регламент предоставляет значительный контроль и права субъектам данных. Это включает в себя ограничение использования данных только той целью, по которой они были первоначально собраны (целевое ограничение), и только до тех пор, пока это необходимо (сохранение данных). Данные также должны быть правильными и актуальными (точность данных) и храниться таким образом, чтобы обеспечивать безопасность и конфиденциальность (безопасность данных).

Это означает, что когда закон вступит в силу 2 января 2022 г. (вступление в силу начнется в сентябре 2022 г.), организации должны раскрывать субъектам данных, в частности, почему данные собираются, как они используются и с какими сторонами они будут переданы (которые могут включать традиционная личная информация, такая как даты рождения и адреса, а также биометрические данные, голосовые записи, изображения и другие файлы с идентификаторами, уникальными для конкретного лица).Для обеспечения соблюдения требований организациям также необходимо внедрить процессы для немедленного содержания и удаления личной информации из систем обработки и хранения по запросу субъекта данных (т. е. ответа на запросы субъекта данных о доступе). Дополнительные индивидуальные права, предусмотренные законом, включают право на забвение, право на получение копии всех данных, хранящихся в организации об этом лице, права на переносимость и исправление данных, а также право на простой отзыв согласия.

Как подготовиться?

Практически всем организациям во всех семи эмиратах, которые собирают или обрабатывают персональные данные, или организациям, работающим где-либо еще, но обрабатывающим данные, принадлежащие резидентам ОАЭ, необходимо будет установить или скорректировать свою программу конфиденциальности данных, причем быстро. Для многих это усилие будет включать существенные изменения в повседневных операциях. Ключевые шаги, которые следует начать сейчас, включают:

Назначить ответственного за защиту данных. Закон разрешает DPO организации быть сотрудником или передан на аутсорсинг третьей стороне с опытом работы с конфиденциальностью данных.Не всем организациям понадобится DPO, но его наличие демонстрирует регулирующим органам, что организация серьезно относится к соблюдению конфиденциальности.
Создание форм согласия и раскрытие информации для обработки всех персональных данных. В ситуациях, когда получение согласия невозможно или нецелесообразно, организациям разрешается обрабатывать данные только в том случае, если они делают это для защиты общественных интересов, для судебного разбирательства или разбирательства по вопросам безопасности, для защиты общественного здоровья, когда это необходимо. для соблюдения других законов (т.г., знай своего клиента) и несколько других ограниченных целей.
Просмотрите контракты с производителями и поставщиками, чтобы определить, какие из них предусматривают совместное использование данных. Организации, которые собирают данные (контроллеры), несут ответственность за любые последующие процессоры данных, которые они могут использовать. Таким образом, если организация передает определенные функции на аутсорсинг, она по-прежнему несет полную ответственность за обеспечение того, чтобы ее поставщики также обрабатывали данные в соответствии с законодательством ОАЭ, независимо от того, где в мире находится обработчик данных.Потребуется тщательный аудит соблюдения требований защиты данных среди всех третьих сторон, которым передаются личные данные, и контракты должны быть обновлены, чтобы отразить требования и обязательства соблюдения конфиденциальности данных. Точно так же может потребоваться пересмотр трудовых договоров с учетом положений о защите данных и других недавно объявленных изменений в трудовом законодательстве ОАЭ.
Создайте карту данных и запись об обработке. Все контролеры и обработчики обязаны иметь и то, и другое, чтобы точно документировать, какие процессы и системы используют персональные данные.
Разработайте план реагирования на нарушения и процедуры уведомления о нарушениях. После вступления закона в силу ожидается, что организации, контролирующие и обрабатывающие персональные данные, будут иметь возможность определять, когда произошла утечка персональных данных, и иметь надежный план реагирования на нарушения, включая процедуры анализа персональных данных, уведомление регулирующего органа и затронутых лиц.
Разработайте документы по оценке воздействия на защиту данных, анкету для оценки поставщиков и оценку воздействия на конфиденциальность для поддержки аудита третьих сторон и обеспечения стандартизированного способа для групп по правовым вопросам, комплаенсу, ИТ и конфиденциальности для оценки новых технологий и партнеров в отношении обязательств и рисков организации в отношении конфиденциальности. .Эти и другие вспомогательные материалы послужат основой для всеобъемлющей политики конфиденциальности и должны быть переплетены с другими соответствующими политиками и процедурами.
Координируйте свои действия с ИТ-отделом для создания надежных механизмов защиты информации и контроля доступа, чтобы данные не попали в чужие руки.
Создайте процессы и процедуры DSAR, чтобы обеспечить своевременную обработку всех запросов от субъектов данных. Процессы DSAR должны поддерживаться технологическими рабочими процессами, которые обеспечивают контрольный журнал выполненных действий и оптимизируют ручную работу, связанную с поиском и хранением соответствующих документов в широком диапазоне систем и источников данных.
Изучите все внешние страны и юрисдикции, в которые обычно передаются данные. Если считается, что какие-либо из них не обеспечивают адекватный или эквивалентный уровень защиты, потребуются специальные средства контроля и документация для продолжения передачи.
Обучите весь персонал новым требованиям и процессам конфиденциальности данных. Обучение должно проводиться на постоянной основе, чтобы укреплять культуру соблюдения и держать сотрудников в курсе изменений в законах и политиках.

Сроки реализации этих изменений невероятно сжаты, и для некоторых организаций это может быть первый раз, когда от них требуется установить политики и процессы конфиденциальности данных.Добавление еще одного уровня проблемы заключается в том, что до сих пор неясно, как именно ОАЭ будут подходить к срокам отчетности о нарушениях и штрафам. Это затрудняет для организаций определение их общей позиции риска в отношении нового закона. Учитывая, что в начале 2022 года ожидаются дополнительные изменения и разъяснения, в том числе постановления исполнительной власти, в которых будет содержаться информация о правоприменительных мерах, крайне важно приступить к первоначальным шагам уже сейчас. Команды, которые сделают это, будут в более выгодном положении, чтобы приспосабливаться и реагировать по мере появления дополнительных событий, а позиция риска их организации становится более четкой.

Мнения, выраженные в настоящем документе, принадлежат автору (авторам) и не обязательно являются мнением FTI Consulting, ее руководства, ее дочерних компаний, ее филиалов или других ее специалистов. © 2021 ТОО «ФТИ Консалтинг». Все права защищены.

Фото Саджа Шафика на Unsplash

Подход США к защите конфиденциальности

Поскольку защита конфиденциальности данных стала приоритетом для отдельных лиц, правительства всех уровней приняли различные законы о правах на неприкосновенность частной жизни, чтобы контролировать, как организации собирают, хранят и обрабатывают личную информацию, такую как имена, адреса, медицинские данные, финансовые отчеты и кредитную историю. Информация.

Узнайте больше о законах о конфиденциальности данных в США, а также о том, каких изменений и других изменений можно ожидать в существующих законах, регулирующих персональные данные.

Законы США о конфиденциальности данных

Как обеспечивается конфиденциальность данных в США?

Необходимость решения современных проблем конфиденциальности и защиты прав на конфиденциальность данных является глобальной тенденцией. Один из решающих моментов наступил в мае 2018 года, когда ЕС ввел в действие Общий регламент по защите данных (GDPR) — обширный законодательный акт, который применяется не только к государствам-членам ЕС, но и к любой организации, которая собирает или обрабатывает данные жителей Европы.

Проще говоря, в США нет аналога GDPR ЕС. Действительно, по состоянию на 2021 год США являются одной из немногих демократий и единственным членом Организации экономического сотрудничества и развития, у которого нет федерального агентства по защите данных, хотя сенатор Кирстен Гиллибранд и другие предложили создать его. В отсутствие всеобъемлющего закона о защите данных на федеральном уровне США продолжают регулировать конфиденциальность данных с помощью набора законов, принятых на уровне штатов и на федеральном уровне.

Компании должны быть осведомлены обо всем соответствующем законодательстве, прежде чем они начнут собирать или обрабатывать какие-либо данные, которые могут считаться «личными данными». Несоблюдение применимых законов о конфиденциальности данных может привести к судебным искам и штрафам.

Федеральные законы о конфиденциальности в США и их применение

Федеральные законы, которые считаются законами о конфиденциальности данных, включают:

Закон Грэмма-Лича-Блайли (GLBA): Также известный как Закон о финансовой модернизации 1999 года, GLBA требует, чтобы финансовые корпорации объясняли, как они защищают и передают конфиденциальную информацию клиентов
Закон о переносимости и подотчетности медицинского страхования (HIPAA): Этот федеральный закон регулирует раскрытие и использование защищенной медицинской информации (PHI).
Закон о защите конфиденциальности детей в Интернете (COPPA): Этот закон ограничивает сбор личной информации о детях младше 13 лет.
Закон о правах семьи на образование и конфиденциальность (FERPA): Этот федеральный закон защищает конфиденциальность личных данных учащихся и применяется ко всем школам, которые получают средства от Министерства образования США.
Закон о достоверной кредитной отчетности (FCRA): Регулирует сбор и использование информации о потребителях

На федеральном уровне Федеральная торговая комиссия (FTC) обладает широкой юрисдикцией в отношении коммерческих организаций для предотвращения «мошеннических торговых практик», которые могут включать вопросы конфиденциальности данных.FTC имеет право обеспечивать соблюдение законов о конфиденциальности, издавать правила и принимать меры для защиты потребителей. В частности, FTC может действовать против компаний, которые:

Неспособность создать, внедрить и поддерживать разумные меры по нарушению безопасности данных
Нарушение прав потребителей на конфиденциальность данных путем сбора, обработки или обмена информацией о потребителях без их согласия
Публиковать и устанавливать неточные или вводящие в заблуждение политики конфиденциальности и безопасности для потребителей на веб-сайтах и в приложениях
Собирать, обрабатывать, передавать или делиться личной информацией способами, не указанными в политике конфиденциальности

Законы штата о конфиденциальности данных в США

Многие штаты США также имеют свои собственные законы о конфиденциальности и безопасности данных.Генеральные прокуратуры штатов несут ответственность за надзор за соблюдением этих законов.

Положения на государственном уровне часто дублируют друг друга или несовместимы. Например, все 50 штатов США приняли законы об уведомлении об утечке данных, но существуют различия в определении персональных данных и даже в том, что представляет собой утечку данных. Точно так же по крайней мере 35 штатов (и Пуэрто-Рико) ввели в действие те или иные правила удаления данных, причем многие из этих законов конкретно касаются цифровых данных.

Вот основные законы о конфиденциальности данных по штатам, которые были приняты:

Закон Калифорнии о конфиденциальности потребителей

Вступает в силу Дата: 1 января 2020 г.

Положения : Этот закон штата Калифорния о конфиденциальности данных был запущен в качестве инициативы голосования в ответ на растущую общественную озабоченность по поводу объема личных данных, которые цифровые и технологические компании в Силиконовой долине незаметно собирают и продают на протяжении десятилетий.Калифорнийский закон включает в себя основные принципы требований к защите данных и конфиденциальности данных в GDPR Европейского Союза.

CCPA регулирует сбор, продажу и раскрытие личной информации жителей Калифорнии. Он применяется к деятельности предприятий, поставщиков услуг, обслуживающих предприятия, и третьих лиц (которые могут быть отдельными лицами или организациями). Одним из ключевых условий закона является то, что предприятия должны оперативно реагировать на запросы потребителей Калифорнии относительно того, какие личные данные собираются о них и продаются ли они или разглашаются.Закон не допускает дискриминации потребителей, осуществляющих свои права; потребителям должно быть предоставлено такое же качество обслуживания, даже если они возражают против определенного действия, такого как продажа их данных. Поставщики услуг могут использовать данные потребителей только по указанию предприятия, которое они обслуживают, и должны по запросу удалять личную информацию потребителя из своих записей.

Сфера действия : CCPA применяется к каждому коммерческому предприятию, работающему в Калифорнии, которое удовлетворяет определенным условиям, таким как порог дохода.Он имеет экстерриториальное действие, поскольку распространяется на предприятия, не входящие в штат Калифорния, но работающие в Калифорнии.

Другие ключевые факты:

Определенные конфиденциальные данные не подпадают под действие требований CCPA, включая защищенную медицинскую информацию (PHI), уже подпадающую под действие Закона о переносимости и подотчетности медицинского страхования (HIPAA), медицинскую информацию, уже подпадающую под действие Закона штата Калифорния о конфиденциальности медицинской информации, а также некоторую информацию, подпадающую под действие Закон Грэмма-Лича-Блайли (GLBA).
Закон в настоящее время требует, чтобы предприятия распространяли права, предоставляемые CCPA, на своих сотрудников. Однако на рассмотрении находится законопроект, который внесет поправки в этот закон, чтобы исключить сотрудников из определения «потребитель».
Когда компания получает запрос о собранной и хранимой информации о человеке, она должна убедиться, что человек, делающий запрос, действительно является тем, за кого он себя выдает, прежде чем ответить.

Штрафы за нарушения : Закон дает компаниям 30 дней на «лечение» нарушений.Неустранение нарушения влечет за собой гражданский штраф в размере до 7500 долларов США за каждое преднамеренное нарушение и 2500 долларов США за каждое непреднамеренное нарушение.

Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA)

Официальное название: Предложение 24

Дата вступления в силу: 1 января 2023 г., но не вступит в силу до 1 июля 2023 г.

Положения: Этот закон штата Калифорния предоставляет потребителям новые права, такие как право:

Исправьте неверную информацию.
Собирать личную информацию с соблюдением целевых ограничений и минимизации данных.
Получите уведомление от предприятий, планирующих использовать конфиденциальную личную информацию, и попросите их прекратить это. Это включает биометрическую информацию, генетические данные и любую информацию, касающуюся здоровья человека, сексуальной ориентации или сексуальной жизни.

Область применения: Этот закон имеет более широкую сферу действия, чем CCPA, поскольку он предлагает следующие расширенные права потребителям:

Право предъявлять иски компаниям, когда они раскрывают пароли и имена пользователей: CPRA расширяет определение CCPA «личной информации», включая имена пользователей и пароли.
Право отказаться от обмена информацией с третьими лицами: В соответствии с Законом о защите конфиденциальности и защиты населения (CCPA) этот вопрос был предметом споров, поскольку «продажа» явно не включала в себя передачу информации. С помощью CPRA потребители теперь могут отказаться от продажи и передачи личной информации третьим лицам.
Право на доступ к дополнительной информации: Потребители могут запросить доступ к любой личной информации, собранной предприятием, а не только к информации, собранной за предшествующий 12-месячный период.

Другие важные факты: Этот закон также создает новое агентство по защите конфиденциальности, Калифорнийское агентство по защите конфиденциальности (CPPA), которое будет нести ответственность за правоприменение.

Штрафы за нарушения: Штрафы могут составлять от 2500 до 7500 долларов США, в зависимости от того, являетесь ли вы юридическим или физическим лицом. Существуют также автоматические штрафы в размере 7500 долларов США за нарушение данных несовершеннолетних (лиц, не достигших 16-летнего возраста).

Закон штата Колорадо о конфиденциальности (CPA)

Официальное наименование: СБ 21-190

Дата вступления в силу: 1 июля 2023 г.

Положения: CPA применяется к «контролерам», которые работают в Колорадо или предоставляют продукты или услуги, предназначенные для жителей Колорадо, которые:

Контроль или обработка персональных данных 100 000 или более потребителей в течение одного года
Получайте доход или скидки на стоимость услуг или товаров от продажи, обработки или управления персональными данными 25 000 или более потребителей

Начиная с 1 июля 2024 г. контролеры, отвечающие указанным выше требованиям, должны разрешать отказ от целевых продаж и рекламы.CPA также дает жителям Колорадо право доступа, исправления и удаления своих личных данных в дополнение к праву на переносимость данных. У контролеров будет 45 дней, чтобы ответить на запросы.

Область действия: В отличие от Калифорнийского закона о конфиденциальности потребителей от 2018 года, CPA не имеет порога применимости в денежном выражении. Это означает, что каждый бизнес должен учитывать этот закон. Однако это не относится к следующим учреждениям:

Финансовые учреждения, подпадающие под действие GLBA
Различные типы данных, связанных со здравоохранением
Данные регулируются FERPA

В отличие от законов Калифорнии, CPA не исключает некоммерческие организации.

Другие важные факты: CPA обязывает контролеров заключать соглашения об обработке данных (DPA) с обработчиками. Контроллеры также должны будут проводить и регистрировать оценки защиты данных.

Штрафы за нарушения: Частное право на иск отсутствует, поэтому генеральный прокурор штата Колорадо и окружные прокуроры будут обеспечивать соблюдение CPA. Они могут требовать возмещения денежного ущерба или судебного запрета. Однако, прежде чем принимать меры, генеральный прокурор и окружные прокуроры должны направить уведомление о нарушении и предоставить компаниям или частным лицам 60 дней на устранение предполагаемого нарушения.После января 2025 года это «право на исправление» будет заменено правом контролера запрашивать указания у Генеральной прокуратуры.

Закон штата Вирджиния о защите данных потребителей (CDPA)

Официальное название: SB-1392

Дата вступления в силу: 1 января 2023 г.

Положения: CDPA предоставляет потребителям шесть прав:

Право на исправление
Право доступа
Право на переносимость данных
Право на удаление
Право на отказ
Право на обжалование

Область действия: Этот закон применяется к организациям, которые ведут бизнес в Вирджинии или создают услуги или продукты, предназначенные для жителей Вирджинии, которые:

Контроль или обработка персональных данных более 100 000 потребителей в течение года
Контролировать или обрабатывать персональные данные более 25 000 потребителей и получать не менее половины их валового дохода от продажи персональных данных

Как и CPA в Колорадо, CPDA в Вирджинии не имеет порога дохода.Это означает, что предприятия всех размеров должны обратить внимание на этот закон.

Определение «потребитель» не включает лицо, действующее по найму или в коммерческом контексте. Это отличает его от CPRA, который включает данные о сотрудниках. Соответственно, предприятиям не придется учитывать данные сотрудников при принятии решения о применении к ним CPDA.

Другие ключевые факты: Как и GDPR ЕС и CCPA Калифорнии, CDPA имеет положение, ограничивающее сбор данных теми данными, которые «адекватны, актуальны и разумно необходимы в связи с целями, для которых данные обрабатываются.

Штрафы за нарушения: Как и CPA штата Колорадо, CDPA штата Вирджиния не имеет частного права на иск. Правоприменение является обязанностью Генерального прокурора. У контролера есть 30 дней на устранение нарушения после того, как генеральный прокурор уведомит контролера о принятии мер. Если контролер не устранит нарушение в течение этого периода, генеральный прокурор может оштрафовать его на сумму до 7500 долларов за каждое нарушение.

Закон штата Невада о конфиденциальности в Интернете (SB260)

Официальное наименование: БДР-52-253

Дата вступления в силу: 1 октября 2021 г.

Положения: Этот закон предоставит жителям штата Невада более широкие права отказаться от продажи своей личной информации.Это также создает новые требования для «брокеров данных», которые определяются как организации, основным видом деятельности которых является продажа информации о потребителях от операторов или других брокеров данных. Брокеры данных должны установить специальный адрес, по которому потребители могут потребовать от брокера данных прекратить продажу их информации. Брокер данных должен будет ответить в течение 60 дней с момента получения.

Сфера действия: Закон расширяет сферу действия права отказа, но сфера охвата «защищенной информации» уже, чем «личная информация», определяемая аналогичными законами.

«Покрываемая информация» ограничена:

Имя и фамилия
Домашний/физический адрес
Адрес электронной почты
Номера телефонов
Номера социального страхования
Идентификаторы, позволяющие связаться с человеком лично или через Интернет

Другие важные факты: Законопроект вносит поправки в законы штата Невада об уведомлении о конфиденциальности в Интернете, такие как NRS 603A.300-360.

Наказания за нарушения: Генеральному прокурору штата Невада поручено обеспечить соблюдение этого закона.Суд вынесет временный или постоянный судебный запрет или гражданский штраф в размере до 5000 долларов США за нарушение.

Закон штата Массачусетс о конфиденциальности данных

Официальное название : Стандарты защиты личной информации резидентов Содружества (201 CMR 17.00)

Дата вступления в силу : 1 марта 2010 г.

Положения : Этот закон содержит требования по защите жителей штата Массачусетс от кражи личных данных и мошенничества.

Область действия : Любая организация, которая лицензирует, хранит или поддерживает личные данные о жителях Массачусетса, обязана внедрить комплексную программу информационной безопасности.

Другие ключевые факты:

Закон требует, чтобы компании имели специального человека для запуска программы безопасности данных и проведения регулярного обучения сотрудников.
Закон также требует, чтобы предприятия предпринимали «разумные шаги» для проверки того, что сторонние поставщики услуг, имеющие доступ к личной информации, могут защитить эту информацию.
Закон защищает безопасность и конфиденциальность личной информации как потребителей, так и сотрудников, включая имя, фамилию, номер социального страхования, номер водительских прав, номер удостоверения личности, выданного штатом, номер финансового счета, номер кредитной или дебетовой карты и любой код доступа, который позволяет получить доступ к финансовой информации человека.Однако он исключает информацию, полученную из общедоступных источников.
Массачусетс также работает над регулированием конфиденциальности данных, подобным CCPA. В случае принятия SD.341 «Закон о конфиденциальности данных потребителей» планируется вступить в силу 1 января 2023 года.

Штрафы за нарушения : Управление по делам потребителей и регулированию бизнеса отвечает за правоприменение. Каждое умышленное нарушение закона может повлечь гражданско-правовой штраф в размере до 5000 долларов США плюс «разумные расходы на расследование и судебное разбирательство такого нарушения, включая разумные гонорары адвокатов».

Закон штата Миннесота о конфиденциальности данных

Официальное название : Закон штата Миннесота о практике работы с данными правительства (MGDPA) (Закон штата Миннесота, § 13)

Дата вступления в силу : 1979

Положения : Этот закон штата Миннесота защищает право физических лиц на доступ к государственным данным и контролирует сбор, хранение, использование и распространение личных данных. Он устанавливает систему классификации для различения различных типов информации, таких как данные об образовании и данные правоохранительных органов.Кроме того, данные о физических лицах помечаются как общедоступные или непубличные, а данные, не относящиеся к физическим лицам, помечаются как непубличные или защищенные непубличные

Область действия : Закон применяется к любому государственному учреждению штата Миннесота.

Другие ключевые факты:

Закон требует, чтобы каждое государственное учреждение назначило «ответственный орган», который установит процедуры, обеспечивающие «получение и выполнение запросов на данные надлежащим и оперативным образом». Если государственное учреждение хочет собрать личные или конфиденциальные данные человека, оно должно предоставить этому лицу уведомление о конфиденциальности, называемое «Tennessen»
В случае возникновения спора между государственным органом и лицом в отношении практики работы с данными, лицо может запросить консультативное заключение у Комиссара по административным вопросам.

Штрафы за нарушения : Санкции могут включать гражданский иск за умышленное нарушение или оплату услуг адвоката, если государственный орган не выполняет консультативное заключение. За умышленные нарушения суд также может наложить уголовную ответственность на государственных служащих, отстранить их от должности без сохранения заработной платы или уволить.

Предлагаемые законы штата США о конфиденциальности данных

Все вышеперечисленные законы о конфиденциальности данных приняты, но некоторые законы обсуждаются.Среди них:

Закон штата Огайо о неприкосновенности частной жизни (OPPA)

Официальное название : Счет Палаты представителей 376

Описание: Этот законопроект аналогичен законодательству, принятому в Калифорнии, Вирджинии и Колорадо. Если он будет принят, он даст жителям Огайо определенные цифровые права и наложит обязательства на любой бизнес, который собирает личные данные потребителей из Огайо.

Закон Северной Каролины о конфиденциальности потребителей (CPA)

Официальное название : Законопроект Сената 569

Описание: В случае принятия этот закон предоставит потребителям Северной Каролины следующие права:

Право на информацию и доступ
Право на исправление
Право на удаление
Право на отказ
Частное право иска

Это будет применяться ко всем предприятиям, которые ориентируют свои услуги и продукты на жителей Северной Каролины, а также:

Обрабатывать или контролировать персональные данные 100 000 или более потребителей ежегодно
Обрабатывать или контролировать персональные данные не менее 25 000 потребителей и получать более половины валового дохода от продажи этих персональных данных.

Закон Род-Айленда о прозрачности данных и защите конфиденциальности

Официальное название : HB 5959

Описание: В этом законопроекте излагаются методы обмена информацией и требуется прозрачность в отношении сбора данных о потребителях, требующая от некоторых компаний предоставления информации о политике конфиденциальности. В случае принятия закон поможет потребителям идентифицировать личную информацию, собранную, переданную или проданную третьим лицам поставщиками онлайн-услуг и коммерческими веб-сайтами.

Закон штата Пенсильвания о конфиденциальности данных потребителей

Официальное название : Счет Палаты представителей 1126

Описание: Этот закон распространяется на коммерческие компании, отвечающие всем следующим критериям:

Ведение бизнеса в Пенсильвании
Сбор, обмен или продажа личной информации потребителей
Самостоятельно или вместе с другими определять цели и средства обработки личной информации потребителей
Соответствует одному из следующих требований:
- Получают половину своего годового дохода от продажи личной информации потребителей
- Ежегодно покупать, делиться или продавать (самостоятельно или совместно с другими) личную информацию 50 000 потребителей, устройств или домохозяйств
- Иметь годовой валовой доход не менее 10 миллионов долларов

Нью-Джерси — Три законопроекта о конфиденциальности данных

Официальные названия: A5448, A3283 и A3255

Описание:

A5448 и A3255 имеют схожие цели: они требуют от компаний уведомлять потребителей о сборе и раскрытии личной информации и позволяют потребителям отказаться.

A3283, Закон Нью-Джерси о раскрытии информации и прозрачности подотчетности (NJ DaTA), устанавливает требования к раскрытию и обработке личной информации. Законопроект также предусматривает создание Управления по защите данных и ответственному использованию в Отделе по делам потребителей.

Закон штата Массачусетс о конфиденциальности информации (MIPA)

Официальное наименование : S.46

Описание: Этот законопроект представляет собой измененную версию Закона штата Вашингтон о неприкосновенности частной жизни.Это защитит потребителей от несанкционированного сбора, использования и монетизации их личной информации, включая местоположение и биометрические данные; запрещать дискриминацию на основе личной информации и защищать работников от необоснованного электронного контроля на рабочем месте.

Закон Гавайских островов о защите прав потребителей

Официальное наименование : SB 418

Описание: Этот предлагаемый законопроект предоставит потребителям право доступа, удаления и отказа от продажи их личной информации.Как и CCPA, он имеет широкое определение «личной информации». Он имеет те же основные средства защиты и права, что и CCPA, но не определяет, что такое «бизнес», поэтому не исключает предприятия по размеру.

Закон штата Нью-Йорк о конфиденциальности потребителей (NYPA)

Официальное название: Законопроект Сената S567

Описание: Предлагаемый в Нью-Йорке закон о конфиденциальности данных очень похож на CCPA. Это позволит людям узнать, какие данные о них собрала компания и с кем они ими поделились, запросить у компании исправление или удаление данных и отказаться от передачи или продажи своих данных третьим лицам.NYPA дополнит существующий в Нью-Йорке закон об уведомлении об утечке данных, расширив защиту личной информации.

Предлагаемый законопроект устанавливает высокие стандарты защиты конфиденциальности данных, такие как следующие:

Он налагает фидуциарные обязанности на любое юридическое лицо, которое собирает, продает или лицензирует личные данные, и определяет эти обязанности в широком смысле. Предприятия должны защищать личные данные потребителей от любого риска, который их затрагивает. Более того, в нем говорится, что фидуциарная ответственность за данные заменяет «любые обязанности перед владельцами или акционерами.
Он сильнее, чем законы других штатов, поскольку требует, чтобы предприятия ставили конфиденциальность своих клиентов выше собственной прибыли. В этом законе о конфиденциальности есть очень спорная строчка, в которой говорится, что организации должны «действовать в интересах потребителя». Однако это не объясняет, что компании должны на самом деле понимать в отношении интересов жителей Нью-Йорка и других клиентов.
Он предлагает частное право на иск, предоставляя потребителям право напрямую предъявлять иски компаниям в связи с нарушением конфиденциальности, а не оставляя правоприменение Генеральному прокурору штата.

Заключение

штата США принимают свои собственные правила конфиденциальности данных и кибербезопасности, поскольку, в отличие от ЕС, США еще не приняли всеобъемлющий федеральный закон о конфиденциальности данных. Ситуация будет продолжать усложняться по мере того, как в ближайшие месяцы и годы вступит в силу больше законов штата. Чтобы избежать серьезных штрафов, судебных исков и других последствий несоблюдения требований, организациям следует внимательно изучить законы США о конфиденциальности данных и убедиться, что они соответствуют всем применимым требованиям.

Часто задаваемые вопросы

Какие законы США предъявляют требования к обеспечению конфиденциальности данных?

Ввиду отсутствия комплексного федерального законодательства, регулирующего конфиденциальность данных, в США действуют отраслевые законы и законы отдельных штатов, которые контролируют обмен определенными типами персональных данных. Эти законы включают:

Закон о конфиденциальности от 1974 г. — защищает личную информацию, хранимую федеральными агентствами
Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Закон об информационных технологиях здравоохранения для экономического и клинического здравоохранения (HITECH) — Защита личной медицинской информации (PHI)
Закон Грэмма-Лича-Блайли (GLBA) — Защита финансовой информации
Закон о защите конфиденциальности детей в Интернете (COPPA) — защищает конфиденциальность детей
Закон о правах семьи на образование и неприкосновенность частной жизни (FERPA) — защищает личную информацию учащихся
Закон Калифорнии о конфиденциальности потребителей (CCPA) — защищает права на неприкосновенность частной жизни жителей Калифорнии
Закон Нью-Йорка SHIELD — защищает личную и частную информацию жителей штата Нью-Йорк

Какие типы данных покрываются U.S. законы о конфиденциальности?

Информация, считающаяся конфиденциальной по законам США, включает:

Информация, позволяющая установить личность (PII) — Информация, которая может быть использована для идентификации, установления контакта или местонахождения человека или отличия одного человека от другого, например, имя, адрес и номер социального страхования
Личная медицинская информация (PHI) — Информация о состоянии здоровья, история болезни, информация о страховании и другие личные данные, которые собираются поставщиками медицинских услуг и могут быть связаны с определенным лицом
Личная финансовая информация (PIFI) — Номера кредитных карт, реквизиты банковского счета или другие данные, касающиеся финансов человека
Записи учащихся — Индивидуальные оценки, стенограммы, расписание занятий, платежные реквизиты и другие образовательные записи

Что защищает Закон о конфиденциальности 1974 г.?

Закон о конфиденциальности от 1974 года регулирует то, как федеральные агентства обрабатывают записи о физических лицах из федерального правительства, и требует от федеральных агентств соблюдения различных строгих требований к ведению документации.Это позволяет людям получать доступ к записям о себе, узнавать, были ли эти записи раскрыты, и запрашивать исправления или поправки к этим записям, если только записи не подпадают под действие закона.

В скольких штатах США действуют законы о конфиденциальности данных?

По крайней мере, в 16 штатах действуют законы о конфиденциальности данных, а в трех из них действуют всеобъемлющие законы о конфиденциальности данных потребителей. В Калифорнии был принят хорошо известный Калифорнийский закон о конфиденциальности потребителей (CCPA), который послужил толчком к принятию аналогичных законов в Колорадо и Вирджинии.

Применяются ли федеральные законы США и законы штатов о конфиденциальности к иностранным компаниям?

Это зависит от нескольких факторов, включая влияние на отдельных лиц, влияние на торговлю в США и наличие у компании дочерней компании в США. Иностранные предприятия могут подпадать под действие законов США, если они собирают, обрабатывают или передают личную информацию жители США. Например, если иностранная компания ведет бизнес в Калифорнии и собирает личную информацию жителей Калифорнии, в то время как потребители находятся в Калифорнии, она подпадает под действие Закона о защите конфиденциальности потребителей (CCPA).

Чем законы о конфиденциальности в США отличаются от GDPR ЕС?

GDPR — это комплексный мандат на конфиденциальность данных, который применяется ко всем государствам-членам и любой компании в мире, которая собирает или обрабатывает данные резидентов ЕС. В США нет эквивалентного закона; вместо этого конфиденциальность данных регулируется набором отраслевых федеральных законов и законов различных штатов.

Стоит упомянуть одно конкретное право, защищенное GDPR: право на забвение, то есть право требовать удаления личной информации из записей организации.Это право часто считается несовместимым с правом на свободу слова, закрепленным в Первой поправке к Конституции Соединенных Штатов, поскольку принуждение к исключению информации из перечня может рассматриваться как ограничение свободы слова и создание риска цензуры. Тем не менее, несколько законов в США предлагают ту или иную форму права на забвение. Например, COPPA позволяет родителям просматривать и удалять информацию о своих детях, а CCPA позволяет жителям Калифорнии запрашивать удаление своих записей с некоторыми ограничениями.

Бывший вице-президент по работе с клиентами в Netwrix. Он имеет разнообразный опыт работы в индустрии программного обеспечения за более чем 20 лет, занимая должности генерального директора, главного операционного директора и вице-президента по управлению продуктами в нескольких компаниях, занимающихся вопросами безопасности, соответствия нормативным требованиям и повышения производительности ИТ-команд.