Содержание

ТК РФ Статья 88. Передача персональных данных работника / КонсультантПлюс

ТК РФ Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Открыть полный текст документа

Политика конфиденциальности

Автоматизированная обработка персональных данных

обработка персональных данных с помощью средств вычислительной техники

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных)

Защита персональных данных

комплекс мероприятий технического, организационного и организационно-технического характера, направленных на обеспечение безопасности персональных данных и защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных

Информационная система персональных данных

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Информация

сведения (сообщения, данные) независимо от формы их представления

Конфиденциальность персональных данных

обязательное для соблюдения операторами или иными лицами, получившими доступ к персональным данным, требование о не раскрытии третьим лицам и не распространении персональных данных без согласия субъекта персональных данных

Обезличивание персональных данных

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор

Общество

Персональные данные

любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Субъект персональных данных

физическое лицо, вступившее с Обществом в отношения, при которых Обществом обрабатываются персональные данные такого лица.

Категории субъектов персональных данных перечислены в разделе 4.3 настоящей Политики

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Политика кониденциальности

Автоматизированная обработка персональных данных

обработка персональных данных с помощью средств вычислительной техники

Блокирование персональных данных

временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных)

Защита персональных данных

комплекс мероприятий технического, организационного и организационно-технического характера, направленных на обеспечение безопасности персональных данных и защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту персональных данных

Информационная система персональных данных

совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Информация

сведения (сообщения, данные) независимо от формы их представления

Конфиденциальность персональных данных

обязательное для соблюдения операторами или иными лицами, получившими доступ к персональным данным, требование о не раскрытии третьим лицам и не распространении персональных данных без согласия субъекта персональных данных

Обезличивание персональных данных

действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных

любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор

Общество

Персональные данные

любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных

действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Распространение персональных данных

действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Субъект персональных данных

физическое лицо, вступившее с Обществом в отношения, при которых Обществом обрабатываются персональные данные такого лица. Категории субъектов персональных данных перечислены в разделе 4.3 настоящей Политики

Трансграничная передача персональных данных

передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Уничтожение персональных данных

действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Международное обновление защиты данных – лето 2021 г.

В этом обновлении освещены некоторые международные проблемы защиты данных, которые привлекли наше внимание и внимание наших клиентов в течение лета.

Азиатско-Тихоокеанский регион

Закон Китая о безопасности данных и Закон о защите личной информации – Этим летом Китайская Народная Республика приняла два новых закона о защите данных. Закон о безопасности данных (DSL) принят в июне и вступает в силу с 1 сентября.DSL широко применяется к использованию и обработке данных, в том числе к тем, которые имеют место за пределами Китая, когда они могут нанести ущерб национальной безопасности или общественным интересам Китая или законным правам и интересам китайских граждан и организаций. В DSL изложены требования к безопасности данных, которые направлены на защиту данных посредством комплексного управления безопасностью данных, текущих оценок, нормативной отчетности, а также эффективного мониторинга и устранения рисков. Многие из необходимых защит зависят от того, как данные классифицируются в соответствии с DSL.Санкции за несоблюдение требований включают денежные штрафы и отзыв или приостановление действия лицензии на ведение бизнеса.

В августе Китай принял всеобъемлющий закон о защите данных, Закон о защите личной информации (PIPL). PIPL вступит в силу 1 ноября 2021 года. PIPL охватывает обработку личной информации лиц, находящихся в Китае, в том числе, когда эта информация обрабатывается за пределами Китая, например, при предоставлении товаров и услуг в Китае или при анализе или оценке поведения людей. в Китае.PIPL определяет личную информацию широко и аналогично Общему регламенту ЕС по защите данных (GDPR) и многим другим законам о защите данных. Определение конфиденциальной личной информации (включая биометрические идентификаторы, религию, здоровье, отслеживание местоположения и т. Д.) Также знакомо, но добавляет финансовую информацию и личную информацию лиц в возрасте до 14 лет. Как и GDPR, PIPL различает организации, которые определяют для целей обработки и тех, которые этого не делают, требует наличия представителя из Китая для некитайских компаний, подпадающих под действие PIPL, требует наличия законной основы для обработки личной информации, предоставляет физическим лицам определенные права на их личную информацию, ограничивает трансграничную личную информацию переводы и допускают большие денежные штрафы.Однако некоторые требования PIPL отличаются от требований GDPR. Например, PIPL требует дискретного согласия на определенные действия по обработке личной информации, включая раскрытие, трансграничную передачу и обработку конфиденциальной личной информации. Кроме того, PIPL предоставляет частное право на предъявление иска, если просьба человека об осуществлении прав, предусмотренных законом, отклоняется.

ИТ-правила Индии – Ранее в этом году Индия опубликовала свои новые правила в области информационных технологий (Руководящие принципы для посредников и Кодекс этики цифровых медиа), 2021 (ИТ-правила).25 мая истек трехмесячный льготный период для основных посредников в социальных сетях (тех, у которых 5 миллионов или более зарегистрированных пользователей в Индии). Правила ИТ применимы к издателям новостей и посредникам, которые «обеспечивают передачу новостей и текущих событий», например к сетям социальных сетей, блогам и дискуссионным онлайн-форумам. Правила ИТ применяются по-разному в зависимости от масштаба платформы и налагают обязательства, связанные, среди прочего, с должной осмотрительностью контента, модерацией контента, автоматической проверкой контента и удалением незаконного контента.Справедливость многих из этих требований в настоящее время оспаривается в Высоких судах Индии.

Закон Таиланда о защите личных данных – Закон Таиланда о комплексной защите данных, Закон о защите личных данных, должен был вступить в силу в июне 2021 года. Однако правительство Таиланда перенесло дату вступления в силу ряда положений до 31 мая. , 2022.

Решение об адекватности в Южной Корее – В июне Европейская комиссия (ЕК) начала процесс принятия решения об адекватности для Южной Кореи, которое позволит передавать личные данные Европейского союза (ЕС) в Южную Корею без дополнительных гарантий.Проект решения ЕС об адекватности считает, что Южная Корея предлагает уровень защиты данных, по существу эквивалентный уровню, предусмотренному GDPR, подчеркивая недавнюю реформу Закона Южной Кореи о защите личной информации, которая усилила полномочия регулирующего органа Южной Кореи, Комитета по защите личной информации. (PIPC). В ходе переговоров по адекватности также было согласовано несколько дополнительных мер защиты, которые могут быть обеспечены PIPC, и нацелены на усиление защиты личных данных ЕС, передаваемых в Южную Корею. В пресс-релизе PIPC, касающемся проекта решения о достаточности, указывается, что окончательное принятие решения об адекватности в Южной Корее вероятно к концу года.

Европа, Ближний Восток и Африка (EMEA)

Передача данных в ЕС – Вопросы трансграничной передачи данных были в центре внимания многих американских компаний, ведущих бизнес с Европой, после решения Суда Европейского Союза Schrems II в июле 2020 года. дается больше ясности, сначала в новых Стандартных договорных условиях Европейской комиссии (SCC) для международной передачи персональных данных, а затем в окончательных рекомендациях Европейского совета по защите данных (EDPB) по дополнительным мерам по передаче персональных данных.Даже по мере того, как компании продвигаются к внедрению новых SCC, которые полностью заменят предыдущие версии 27 сентября, европейские органы по защите данных (DPA) продолжают выпускать соответствующие руководства, проверяют соблюдение требований передачи данных и принимают принудительные меры в отношении несоответствующих данных. переводы.

Французская национальная комиссия по информатике и свободе (CNIL), например, обновила свою информацию о передаче данных и ответы на часто задаваемые вопросы о признании недействительной Privacy Shield и выпустила руководство, чтобы помочь контролерам данных оценить их трансграничную передачу данных вместе с пересмотренная карта, в целом показывающая уровни защиты данных во всем мире.Между тем, немецкие DPA опубликовали заявления об обязательствах по передаче данных, в частности о необходимости дополнительных оценок и дополнительных мер и действий, которые компании должны предпринять. Одновременно с этим немецкие DPA начали скоординированный аудит соответствия передачи данных, рассылая анкеты различным компаниям.

Что касается конкретно облачных вычислений, Европейский надзорный орган по защите данных (EDPS) также начал изучение контрактов на передачу данных для облачных сервисов, используемых учреждениями ЕС.Бельгийское Autorité de la protection des données / Gegevensbeschermingsautoriteit (APD-GBA) утвердило кодекс поведения для поставщиков облачных услуг, а правительство Франции опубликовало информацию о своей национальной стратегии в отношении облачных технологий.

В другом месте продолжались принудительные действия. Португальский национальный комитет защиты дадушов приостановил международную передачу данных переписи в США как несоответствие решению Schrems II . Французский CNIL выразил озабоченность по поводу передачи личных данных и использования совместных образовательных технологий во французских университетах.В Германии Гамбургский DPA посоветовал региональной канцелярии Сената приостановить использование видеоконференцсвязи по запросу, так как для этого требуется передача личных данных в США, и DPA определило, что строгие требования к передаче данных не могут быть соблюдены. встретились. А DPA Баварии предупредило компанию, что из-за того, что она не приняла дополнительных мер по защите личных данных, передача данных не соответствовала требованиям GDPR после Schrems II . Компания добровольно приостановила использование стороннего процессора до принятия каких-либо дополнительных мер.

Эти действия, взятые вместе, предполагают, что пока нет единого европейского подхода к оценке передачи данных и что некоторые DPA могут интерпретировать SCC и руководство EDPB более строго, чем другие, которые готовы принять более практичный подход к требованиям передачи данных. Между тем, ЕС и США продолжают переговоры о более всеобъемлющем механизме утвержденной передачи данных в качестве замены несуществующей Framework Privacy Shield Framework.

Великобритания Адекватность и передача данных – 28 июня Европейская комиссия приняла окончательные решения о достаточности для Соединенного Королевства (Великобритания) – одно в соответствии с GDPR, а другое – в соответствии с Директивой о правоприменении, что означает, что личные данные теперь могут «свободно передаваться из от Европейского Союза до Соединенного Королевства, где он пользуется уровнем защиты, по существу эквивалентным тому, который гарантируется законодательством ЕС.Мнения EDPB и Европейского парламента указали на опасения, связанные с дальнейшими передачами и доступом государственных органов к персональным данным, передаваемым в Великобританию. Помимо переговоров о достаточности ЕС, Большая палата Европейского суда по правам человека в мае постановила, что полномочия государственного органа Великобритании по массовому надзору несовместимы с основными правами человека, не имеют достаточных гарантий и «лишены обширного независимого и постоянного надзора. »Механизм.В конечном итоге окончательные решения Великобритании о достаточности ограничиваются четырехлетним (с возможностью продления) периодом, и адекватность будет контролироваться на протяжении всего периода в случае возникновения расхождений между законами ЕС и Великобритании в будущем. Великобритания уже признала страны Европейской экономической зоны адекватными, поэтому поток личных данных теперь разрешен в обоих направлениях.

11 августа Управление комиссара по информации Великобритании (ICO) инициировало консультации по передаче персональных данных из Великобритании, опубликовав, помимо консультационного документа и вопросов, проект британского дополнения к SCC ЕС, международную передачу данных. соглашение (IDTA) и оценка рисков международного перевода.IDTA ICO вводит новый формат – унифицированное адаптируемое соглашение, которое может быть подписано между контроллерами, обработчиками и другими лицами и включает таблицу, в которой указаны ключевые детали соглашения в начале. Оценка риска передачи обеспечивает дополнительную структуру, которая использует целостный подход к этим оценкам, что в последнее время помогает несколько отойти от внимания правоохранительных органов к доступу. Документ включает руководство и примеры, и его можно свободно изменять в зависимости от рисков обработки данных в организации.Большинство предприятий будут счастливы увидеть, что ICO рассматривает вопрос о том, разрешить ли передачу данных через специальное приложение для Великобритании, которое может быть добавлено к соглашениям о передаче данных, утвержденным другими юрисдикциями, включая новые SCC ЕС. Предлагаемое дополнение краткое и гибкое. Период консультаций с ICO заканчивается 7 октября, поэтому у нас не будет окончательного решения в Великобритании до истечения 27 сентября срока действия старых SCC ЕС. Предприятиям следует ожидать сложностей с заключением договоров о перемещении европейских личных данных до тех пор, пока мы не получим окончательное руководство ICO.

Swiss Data Transfers – Швейцарский орган по защите данных одобрил использование пересмотренных SCC ЕС для трансграничной передачи швейцарских персональных данных при соблюдении особых требований, соответствующих швейцарскому законодательству. Необходимые изменения будут зависеть от того, будет ли передача включать только данные Швейцарии или комбинацию данных Швейцарии и ЕС. Изменения, необходимые для использования SCC ЕС для передачи данных в Швейцарии, включают предоставление параллельных надзорных полномочий DPA Швейцарии и государств-членов ЕС и дополнение SCC приложением, в котором указывается включение швейцарских и швейцарских законов в SCC.Начиная с 27 сентября 2021 года Швейцарский DPA прекращает одобрение всех ранее утвержденных типовых статей, включая Швейцарское соглашение о трансграничном потоке данных и старые SCC ЕС. Предыдущее использование этих соглашений может оставаться в силе до 1 января 2023 года, если основной контракт не изменится значительно.

Искусственный интеллект (ИИ) – В апреле Европейская комиссия предложила свои обширные новые правила ИИ, которые запретят определенные методы ИИ, создающие неприемлемый риск.В проекте Положения об искусственном интеллекте изложены строгие меры безопасности для систем искусственного интеллекта, которые он определяет как высокий риск, создаются добровольные кодексы поведения для систем искусственного интеллекта с низким уровнем риска и устанавливается возможность крупных штрафов за несоблюдение. В июне EDBP и EDPS опубликовали совместное заключение по Регламенту AI, подчеркнув, что обработка любых персональных данных в соответствии с Регламентом AI также будет регулироваться существующими законами ЕС о защите данных, и попросили ввести общий запрет на использование AI. как для удаленной биометрической идентификации в общественных местах, так и для алгоритмического использования ИИ, которое может привести к дискриминации.

Единый центр ЕС – В обход ведущего надзорного органа – В соответствии с GDPR ЕС вопросы защиты трансграничных данных, в которых участвуют несколько государств-членов ЕС, обычно решаются ведущим DPA, который является DPA в государстве-члене. где базируется расследуемая организация. Этот так называемый механизм единого окна предназначен для упрощения правоприменения для предприятий, работающих в нескольких государствах-членах. EDPB объяснил в майском ответе, что механизм единого окна «гарантирует, что ведущий надзорный орган, ответственный за расследование дел против конкретного контролера, учитывает мнение любого заинтересованного надзорного органа. Решение Суда Европейского Союза от 15 июня разъяснило, что в некоторых ограниченных ситуациях, например, когда дело действительно срочно, другие DPA могут возбуждать дела против организаций, для которых другой DPA является ведущим надзорным органом.

Файлы cookie и технологии отслеживания – 31 марта был крайний срок для принятия новых рекомендаций по использованию файлов cookie и технологий отслеживания, выпущенных французской CNIL. 2 апреля CNIL сообщила о своем намерении провести аудит соблюдения новых правил.В следующем месяце, 18 мая, CNIL объявила, что она направила официальные уведомления 20 организациям, приказав им выполнить требование, разрешающее пользователям Интернета отказываться от файлов cookie так же легко, как они могут их принимать; все компании, получившие уведомления, теперь решили проблемы. Однако не все компании, получившие уведомления в следующем раунде уведомлений CNIL, выполнили это требование, что привело к санкциям. Кроме того, в конце июля CNIL наложил штраф в размере 50 000 евро за несоблюдение файлов cookie, а также сослался на несоблюдение файлов cookie, исправленное во время рассмотрения вопроса, в недавнем решении и штраф, наложенный в основном за неспособность получить согласие и надлежащим образом отреагировать на права субъектов данных. .

Доказывая, что это не только французская проблема, испанская Agencia Española de Protección de Datos и норвежская Datatilsynet наложили штрафы за несоответствующее использование технологий отслеживания, сосредоточив внимание на отсутствии согласия пользователей, невозможности отклонить файлы cookie и неспособности опубликовать соответствующую политику в отношении файлов cookie. . Итальянская компания Garante per la protezione dei dati personali (Garante) опубликовала в июле свои новые правила использования файлов cookie и технологий отслеживания. Также в июле финская компания Traficom опубликовала пересмотренные рекомендации по «ясности в использовании файлов cookie.”

Чтобы не остаться в стороне от стремления к соответствию файлам cookie, европейская некоммерческая организация noyb (основанная Максом Шремсом) берет на себя баннеры cookie и разработала свой собственный инструмент мониторинга соответствия cookie. В заявлении от 31 мая noyb обвинил организации в попытках помешать пользователям получить согласие на использование файлов cookie и сообщил, что noyb направил более 500 черновиков жалоб компаниям с несоответствующими баннерами файлов cookie в рамках своей цели «положить конец террору с использованием файлов cookie». В августе «Нойб» заявил, что они рассмотрели проект своих жалоб, направив 422 жалобы в DPA по всему ЕС.

Данные о здоровье – По мере того, как Европа ослабляет ограничения, связанные с COVID-19, паспорта вакцины и сбор работодателем статуса вакцинации сотрудников от COVID-19 стали ключевыми областями интереса. В июне ЕС подписал Регламент о цифровом сертификате COVID ЕС, который будет действовать в течение 12 месяцев, начиная с 1 июля, и направлен на «содействие безопасному и свободному перемещению внутри ЕС во время пандемии COVID-19». Шлюз ЕС для цифровых сертификатов COVID был запущен с 1 июня и при запуске уже использовался в Болгарии, Хорватии, Чешской Республике, Дании, Германии, Греции и Польше.Несколько стран выпустили руководство с несколькими ключевыми темами по мерам COVID-19 на рабочем месте. Итальянская Garante, например, подчеркнула, что дисбаланс в отношениях между работодателем и работником означает, что согласие не может быть законным основанием для обработки личных данных, связанных с вакцинацией, а последствия (положительные или отрицательные) могут не зависеть от вакцинационного статуса сотрудника. Делая еще один шаг вперед, руководство Ирландской комиссии по защите данных гласит, что обработка данных о вакцинации, вероятно, будет «представлять собой ненужный и чрезмерный сбор данных, для которого не существует четкой правовой основы», когда орган общественного здравоохранения не определил, что работодателям необходимо собирать данные или давать указания о том, как им следует использовать информацию, когда она у них есть.

Детский кодекс Великобритании – Детский кодекс (или Кодекс соответствия возрасту) в Великобритании полностью вступает в силу со 2 сентября 2021 года. Этот кодекс включает 15 стандартов, касающихся онлайн-сервисов, включая приложения, игры, подключенные игрушки и устройства. , платформы социальных сетей, онлайн-магазины и сервисы потоковой передачи контента – должны следовать, если дети могут получить доступ к сервису. Эти стандарты помогают обеспечить соблюдение обязательств, связанных с защитой данных детей в Интернете.Кодекс применяется к любым компаниям, обрабатывающим персональные данные британских детей, независимо от их местонахождения.

Европейский совет по защите данных – Лето у EDPB было напряженным, поскольку он выпускал руководящие принципы по концепциям контроллера и процессора, виртуальных голосовых помощников и кодексов поведения в качестве инструментов для передачи данных в соответствии с GDPR, а также дорабатывал рекомендации по дополнительным перекрестным запросам. инструменты пограничной передачи данных. EDPB также призвал государства-члены оценить и «пересмотреть свои международные соглашения, которые включают международную передачу персональных данных», принимая во внимание как GDPR, так и Директиву ЕС о правоприменении.

Новые законы и правила региона EMEA

  • Беларусь – Беларусь приняла новый закон о защите данных, который создает регулятор защиты данных, определяет права субъектов данных и налагает обязательства на организации по обеспечению защиты данных. Новый закон вступит в силу с 15 ноября 2021 года.
  • Саудовская Аравия – Комиссия Саудовской Аравии по связи и информационным технологиям объявила в мае о вступлении в силу нормативно-правовой базы кибербезопасности. Нормативно-правовая база содержит полный набор требований и средств контроля кибербезопасности, которые применяются к поставщикам телекоммуникационных, информационных технологий и почтовых услуг.
  • Южная Африка – 1 июля началось полное выполнение и обеспечение соблюдения Закона Южной Африки о защите личной информации, который уже частично вступил в силу. Несоблюдение закона может привести к штрафам до 10 миллионов рандов, тюремному заключению до 10 лет или оба.Южноафриканский регулятор информации выпустил инструкции, правила и другие уведомления, чтобы помочь в соблюдении требований.
  • Швейцария – Федеральный совет Швейцарии пересмотрел Постановление о Федеральном законе о защите данных и начал общественные консультации по этому постановлению. Изменения приводят постановление в соответствие с пересмотренным Федеральным законом о защите данных. Ожидается, что и пересмотренный закон, и постановление вступят в силу во второй половине 2022 года. Новые положения обоих положений направлены на обеспечение совместимости между швейцарскими законами о защите данных и GDPR ЕС.
  • Уганда – Новые правила Уганды о защите данных и конфиденциальности вступают в силу с середины апреля. В соответствии с регламентом учреждается Офис по защите личных данных и требуется регистрация в этом офисе. Они также разъясняют права субъектов данных, накладывают ограничения на обработку персональных данных за пределами Уганды и добавляют обязательства по уведомлению об утечке данных.
  • Узбекистан – В настоящее время в Узбекистане действуют новые требования к локализации данных, согласно которым персональные данные граждан Узбекистана должны обрабатываться в Узбекистане и храниться в зарегистрированных узбекских базах данных.

Америка

LGPD Бразилии – Административные санкции, доступные в соответствии с Lei Geral de Proteção de Dados (LGPD), теперь могут быть введены с 1 августа, что позволяет DPA, Autoridade Nacional de Proteção de Dados (ANPD) обеспечивать соблюдение закона более эффективно. ANPD указало, что регулирующий орган планирует использовать подход «ответственного регулирования», собирая информацию и проводя расследования до принятия решения о соответствующих мерах.В мае ANPD выпустило руководство о ролях контроллеров и обработчиков данных, а также о назначении сотрудников по защите данных, которые помогают компаниям соблюдать нормативные требования.

Пересмотренное руководство Канады по конфиденциальной личной информации – В августе Управление уполномоченного по вопросам конфиденциальности Канады пересмотрело несколько своих руководящих документов, чтобы помочь предприятиям, подпадающим под действие Закона Канады о защите личной информации и электронных документах, лучше понимать, оценивать и защищать типы данных, которые считаются конфиденциальными. .В частности, хотя любая личная информация может быть зависимой от контекста, определенные типы информации – включая медицинскую и финансовую информацию, этническое и расовое происхождение, политические и религиозные убеждения и мнения, генетические и биометрические данные, а также информацию о сексуальной жизни или сексуальной ориентации человека – обычно считается чувствительным и поэтому требует повышенной защиты.

Органический закон Эквадора о защите данных – Органический закон Эквадора о защите личных данных был опубликован в Официальном реестре в мае 2021 года, что дает организациям два года на то, чтобы соответствовать новому закону.Закон во многом основан на GDPR ЕС. Закон учредит новый национальный орган по защите данных, обеспечит индивидуальные права на личные данные и поможет обеспечить надлежащую защиту личной информации, хранящейся в компаниях.

Закон Панамы о защите личных данных – Закон Панамы № 81 о защите личных данных вступил в силу в конце марта. 28 мая президент Панамы утвердил исполнительный указ, в котором устанавливаются права, обязанности и процедуры, необходимые для регулирования закона.

Избранные глобальные правоприменительные меры

  • В мае Голландский Autoriteit Persoonsgegevens (AP) оштрафовал онлайн-платформу на 525000 евро частично за , не назначив представителя по статье 27 в ЕС, что может потребоваться в соответствии с GDPR для компаний, не учрежденных в ЕС. AP дополнительно обязал компанию назначить необходимого представителя или ей грозят дополнительные штрафы.
  • В июне Национальная комиссия Люксембурга по защите прав человека объявила о нескольких штрафах и мерах по исправлению положения за нарушения, связанные с назначением сотрудника по защите данных (DPO) , включая отказ сообщить подробности DPO DPA, наняв DPO без необходимой профессиональной квалификации, назначение DPO с конфликтом интересов и недостаточное вовлечение DPO в вопросы защиты данных, влияющие на деятельность компании.
  • Уголовный суд Версаля во Франции оштрафовал транснациональную компанию и приговорил ее бывшего генерального директора во Франции к двум годам тюремного заключения за осуществление незаконных действий по слежке за сотрудниками , таких как преследование конкретных сотрудников, поиск судимости сотрудников и поиск информация о личной жизни сотрудников.
  • За последние несколько недель Южная Корея PIPC выпустила свой годовой отчет и первую «книгу дел», продемонстрировав свою ключевую правоприменительную деятельность и другие приоритеты. Регулятор сообщает, что за последний год было рассмотрено более 500 дел, что является значительным увеличением по сравнению с предыдущим годом. Крупные штрафы этим летом касались несоблюдения правовых оснований и требований о согласии, отказа от раскрытия информации о передаче данных за границу, недостаточной защиты личной информации пользователей и отказа от ответа на запросы отдельных лиц.
  • В мае Верховный кассационный суд Италии приказал пересмотреть дело, не согласившись с интерпретацией адекватного согласия судом низшей инстанции.Первоначально суд низшей инстанции отменил решение Garante о приостановлении работы автоматизированной системы принятия решений, поскольку он обнаружил, что отдельные лица давали согласие на использование системы. Однако Верховный суд убедили аргументы Garante в том, что отсутствие алгоритмической прозрачности сделало согласие недействительным. В конечном итоге Верховный суд постановил, что согласие действительно только в том случае, если существует адекватная прозрачность того, на что человек соглашается, когда это согласие дается, что означает, что алгоритмическая логика должна быть объяснена людям для получения действительного согласия. В августе Garante наложила штраф в размере 2,5 млн евро на платформу доставки еды за неспособность предоставить достаточно прозрачную информацию об алгоритмах, которые она использовала для управления своими работниками.
  • Datatilsynet оштрафовал датского поставщика медицинских услуг на 80 000 евро за использование приложения для обмена мгновенными сообщениями для передачи медицинской информации . Сотрудники использовали свои личные телефоны для передачи конфиденциальных личных данных (национальных идентификационных номеров и данных о состоянии здоровья) в центральный административный офис компании с помощью группового чата.Всем сотрудникам было предложено присоединиться к групповому чату, и все участники группового чата, включая бывших сотрудников и других сотрудников, у которых не было законной потребности в доступе к информации, получили переданные личные данные. Расследование Datatilsynet пришло к выводу, что большой объем конфиденциальных личных данных был раскрыт неуполномоченным лицам. Кроме того, поскольку компания не тестировала процесс заранее, можно предположить, что несоответствующий обмен данными был преднамеренным, а не небрежным.
  • Управление Комиссара по информации Австралии (OAIC) ​​завершило этим летом многолетнее расследование утечки данных. OAIC, в частности, отметило, что задержек компании с полной оценкой личной информации, доступ к которой , что заняло почти год, и уведомление общественности не соответствовали Австралийским принципам конфиденциальности. Кроме того, в ответ на аргументы компании о том, что на нее не распространяются Принципы конфиденциальности Австралии, OAIC подчеркнуло, что глобальные корпорации несут ответственность в соответствии с австралийскими законами о конфиденциальности и что «австралийцы нуждаются в уверенности в том, что они защищены Законом о конфиденциальности, когда они предоставляют личную информацию. компании, даже если она переводится за границу внутри корпоративной группы.OAIC приказал компании внедрить и поддерживать политику хранения и уничтожения данных, программу информационной безопасности и план реагирования на инциденты, которые соответствуют Австралийским принципам конфиденциальности. Компания также должна назначить независимого эксперта для рассмотрения этих действий и составления отчета. Отчеты должны быть представлены в OAIC, и компания должна внести все рекомендованные изменения.
  • ICO Великобритании продолжило тенденцию взимать штрафы с компаний за мешающих маркетинговых коммуникаций , включая несоблюдение требований в отношении звонков, электронных писем и текстовых сообщений без соответствующего согласия.Французская CNIL и итальянская Garante за лето наложили аналогичные крупные штрафы.
  • Роскомнадзор и суды страны активно применяют российские правила локализации данных , которые на высоком уровне требуют, чтобы личная информация россиян обрабатывалась в базах данных, расположенных в России. Это требование действует с 2015 года.
  • В июне Европол объявил о своей крупнейшей правоприменительной операции против зашифрованных преступных сообщений , что стало возможным благодаря совместной разработке и эксплуатации компании, занимающейся секретными зашифрованными устройствами, в сотрудничестве с U. С. ФБР и 16 других стран.

Почему важна конфиденциальность данных и как создать программу соблюдения конфиденциальности

Примечание редактора: Учитывая быстро меняющийся характер правил конфиденциальности данных и новые проблемы с конфиденциальностью данных, возникшие в результате пандемии COVID-19, 31 марта 2020 года в эту статью была добавлена ​​свежая информация.

Кроме того, чтобы помочь организациям соблюдать разрозненные правила конфиденциальности данных во время кризиса, связанного с коронавирусом, Hyperproof предлагает нашу непрерывную бесплатную подписку на программное обеспечение для обеспечения соответствия нормативным требованиям.Вы можете узнать больше об этом предложении, перейдя по ссылке https://hyperproof.io/compliant-to together

.

Почему важна конфиденциальность данных

Данные – невероятно важный актив, а сбор и обмен данными может стать большим бизнесом в современной цифровой экономике. Но для того, чтобы бизнес мог безопасно и успешно использовать данные, которые он собирает, ему необходимы меры безопасности, чтобы гарантировать, что данные находятся под надежным замком, а потребители не будут подвергаться незваному наблюдению.

По мере того, как предприятия собирают растущий объем информации о своих клиентах, эти клиенты начали видеть потенциальные недостатки этого сбора данных. Конфиденциальность данных сегодня важнее, чем когда-либо прежде, и предприятиям следует серьезно относиться к своим политикам и процедурам конфиденциальности данных по нескольким различным причинам.

В настоящее время нормативно-правовая база создает новые сложности для предприятий всех типов. Положения о конфиденциальности данных, такие как Калифорнийский закон о защите прав потребителей (CCPA) и Общий регламент ЕС по защите данных (GDPR), существенно повлияли на то, как предприятия могут собирать, хранить и обрабатывать такую ​​личную информацию от потребителей. Эти законодательные акты носят всеобъемлющий характер и призваны обеспечить уровень правовой защиты застрахованных потребителей, который ранее был недоступен.

Кроме того, кризис COVID-19 сделал проблемы конфиденциальности данных еще более серьезными. Поскольку организации собирают личную информацию о здоровье сотрудников и поездках в рамках своих ответных мер по сдерживанию распространения вируса, им необходимо принимать соответствующие меры для защиты конфиденциальности сотрудников и соблюдения применимых правил конфиденциальности данных, в том числе Общего регламента ЕС по защите данных. (GDPR), Закон об американцах с ограниченными возможностями (ADA), Закон Калифорнии о конфиденциальности потребителей (CCPA) и Закон США о переносимости и подотчетности медицинского страхования (HIPAA).

Между тем, сегодня предприятия часто подвергаются риску непреднамеренного нарушения этих правил конфиденциальности данных, потому что их меры безопасности не соответствуют постоянно меняющимся ландшафтам кибер-рисков. Организации уязвимы для все большего количества схем кибератак со стороны киберпреступников, хакеров и спонсируемых государством кибертеррористов. Согласно отчету Imperva о защите от киберугроз за 2019 год, ожидается, что 57,6% государственных организаций, 73,5% образовательных организаций и 74.5% розничных организаций подвергаются прямому риску утечки данных или компрометации. В 2019 году мы видели, как такие организации, как Equifax, British Airways, Fortnite, Marriott Hotel Group, платили миллионы за утечки данных.

Как компания, ваши обязательства по защите данных как никогда высоки. Вам необходимо не только собирать, хранить, обрабатывать и удалять данные способами, соответствующими нормативным требованиям, вам также необходимо иметь строгие политики и методы информационной безопасности, которые защищают данные ваших клиентов от злонамеренного или несанкционированного использования.

В этом руководстве мы обсудим, почему предприятиям необходимо уделять внимание конфиденциальности данных, основные правила конфиденциальности данных, влияющие на предприятия в США, и ключевые шаги, которые необходимо предпринять предприятиям для соблюдения этих правил и адекватной защиты своих критически важных активов и своей репутации.

Конфиденциальность и безопасность данных

Конфиденциальность данных состоит из политик и процессов, которые определяют, как ваш бизнес собирает, передает и использует данные.Конфиденциальность данных часто регулируется законами штата или федеральными законами, которые применяются к предприятиям в определенном месте или в определенной отрасли.

С другой стороны, data security защищает данные вашей компании от доступа или злонамеренного использования. Безопасность данных уникальна для разных компаний и будет зависеть от количества и типов данных, которые собираются и хранятся.

Конфиденциальность и безопасность данных имеют решающее значение для надежной политики защиты данных. Без них обоих у вас будет неполная программа, которая сделает вас уязвимыми для атак или дорогостоящих ошибок.

Типы регулирования конфиденциальности данных

Сбор данных Правила содержат указания о том, как и когда предприятия могут собирать данные о потребителях и, в некоторых случаях, нужно ли уведомлять людей о том, что их данные собираются.

Нарушение данных Правила предписывают компаниям, что они должны делать в случае утечки данных, например уведомлять агентства и клиентов, отслеживать информацию о нарушении и принимать меры для предотвращения аналогичного нарушения в будущем.

Доступ к данным нормативные акты содержат руководящие принципы для 1) того, как должен обрабатываться внутренний доступ к информации, и 2) уровней доступа, на который имеют право потребители.

Хранение данных Правила регулируют порядок хранения данных для обеспечения их безопасности. Некоторые правила более конкретны, чем другие, и обычно охватывают такие вопросы, как продолжительность хранения данных и безопасность вашей инфраструктуры хранения.

Обучение конфиденциальности данных Правила содержат указания о том, кого ваша компания должна обучать вопросам конфиденциальности данных.Обычно это то, чему каждый сотрудник должен пройти обучение, чтобы соответствовать требованиям.

Пейзаж конфиденциальности данных сегодня

В связи с резким увеличением использования технологий и удаленной работы из-за пандемии COVID-19 прошедший год привел к множеству изменений в ландшафте конфиденциальности данных. Отделы кадров должны были найти баланс между защитой здоровья сотрудников (путем сбора личной информации для отслеживания контактов) и соблюдением прав сотрудников на конфиденциальность.CISO по всему миру изо всех сил пытались внедрить безопасные политики и процедуры для работы на дому, чтобы защитить ценные данные от кибератак. Многие сотрудники перешли на использование корпоративных виртуальных частных сетей для доступа к защищенным документам – сетей, которые киберпреступники быстро нашли способы использовать. Это увеличение кибератак на удаленных сотрудников привело к тому, что ФБР и Агентство безопасности инфраструктуры кибербезопасности (CISA) выпустили несколько предупреждений в течение прошлого года.

Хорошо это или плохо, но последствия вируса, скорее всего, сохранятся. Группа людей, которые думали, что мы скоро вернемся в офис, продолжает сокращаться. Согласно опросу, проведенному The Conference Board, около трети руководителей HR теперь полагают, что 40% или более их сотрудников будут работать удаленно через 12 месяцев после пандемии. Это означает, что проблемы с конфиденциальностью данных, возникшие в связи с COVID-19, в ближайшее время не будут устранены.

Связанный : Как COVID-19 меняет деятельность по обеспечению соответствия и как CISO должны реагировать

Изменение политики

Пейзаж конфиденциальности данных, о котором я упоминал ранее, кажется, рисует много рока и мрака, но во многих отношениях он действительно может иметь некоторые хорошие, долговременные преимущества.Много внимания было уделено тому, как обрабатываются наши данные, и высказана критика, когда крупные компании не соблюдают стандарты безопасности и конфиденциальности. Например, в прошлом году компания Zoom подверглась тщательной проверке из-за своей слабой стратегии шифрования, в результате чего компания начала 90-дневную модернизацию системы безопасности.

В политическом плане многие американцы хотят узнать, примет ли США свою собственную версию Общего регламента защиты данных (GDPR) – постановления, которое Европейский Союз ввел для защиты конфиденциальности граждан ЕС.Это кажется все более вероятным сейчас, когда президент Джо Байден вступил в должность, где его прошлое участие в администрации Обамы включало Билль о правах потребителей в отношении конфиденциальности. Вдобавок вице-президент Камала Харрис исторически настаивала на усилении защиты данных. Во время своего пребывания в должности генерального прокурора Калифорнии она представила Закон Калифорнии о защите конфиденциальности в Интернете (CalOPPA). Позже за этим последовал известный Калифорнийский закон о защите прав потребителей (CCPA).

В других штатах предложения во время всеобщих выборов продемонстрировали, что потребители жаждут более правовой защиты своей частной жизни.Такие штаты, как Массачусетес, где новая мера обещала усиление защиты конфиденциальности данных о транспортных средствах, были легко приняты 75% избирателей. Мичиган также проголосовал за принятие закона, который потребует ордера на поиск электронных данных, что делает его 13-м штатом, включившим защиту конфиденциальности данных в конституцию штата.

Новое законодательство, будучи положительным как для бизнеса, так и для потребителей, может быть трудным для организаций, чтобы приспособиться к нему с текущими ресурсами. Еще до пандемии компании изо всех сил пытались соблюдать действующие законы и правила.Опрос Hyperproof, в котором приняли участие более 1000 ИТ-специалистов и специалистов по комплаенсу, показал, что 61% организаций-респондентов столкнулись с утечкой данных или нарушением конфиденциальности в течение последних трех лет. Если это похоже на вас, дайте нам знать, и мы будем более чем счастливы помочь вашей организации постоянно соблюдать нормативные требования.

Наиболее распространенные правила конфиденциальности данных

Закон о переносимости и подотчетности в медицинском страховании (HIPAA) устанавливает стандарт того, как информация о пациенте должна обрабатываться врачами, больницами, страховыми компаниями и другими предприятиями, которые обрабатывают личную медицинскую информацию. HIPAA требует, чтобы компании, обрабатывающие данные пациентов, и поставщики (например, больницы) защищали информацию о пациентах и ​​разрешали ее раскрытие только в определенных ситуациях.

HIPAA предусматривает четыре общих правила, которые компании должны соблюдать, а именно:

  1. Обеспечивать конфиденциальность, целостность и доступность всей электронной PHI, которую они создают, получают, поддерживают или передают;
  2. Выявление и защита от разумно ожидаемых угроз безопасности или целостности информации;
  3. Защищать от разумно ожидаемого, недопустимого использования или разглашения; и
  4. Обеспечить соблюдение правил их сотрудниками.

Для получения дополнительной информации о том, кто должен соблюдать HIPAA и что необходимо для того, чтобы стать совместимым с HIPAA, ознакомьтесь с этим руководством.

Общий регламент защиты данных (GDPR) был принят в 2018 году для защиты прав граждан в ЕС, когда речь идет о сборе данных и конфиденциальности. GDPR применяется к компаниям, которые соответствуют следующим критериям:

  • Присутствие в стране ЕС.
  • Нет присутствия в ЕС, но обрабатывает личные данные жителей Европы.
  • Более 250 сотрудников.
  • Менее 250 сотрудников, но их обработка данных влияет на права и свободы субъектов данных, не является случайной или включает определенные типы конфиденциальных личных данных.

Это означает, что он применим практически ко всем компаниям. Он дает клиентам право знать, какие данные собираются, и устанавливает требования в отношении того, как и когда компании должны сообщать о нарушениях.

GDPR – это одно из самых строгих правил конфиденциальности данных, которому необходимо соответствовать.Он действительно допускает многоуровневый подход к штрафам и пени, основанный на относительной серьезности правонарушения, но предприятиям не следует рассчитывать на снисхождение; В 2019 году British Airways была оштрафована на 228 миллионов долларов, а Marriott International – на сумму более 124 миллионов долларов за разоблачение миллионов записей личных данных.

Стандарты безопасности данных индустрии платежных карт (PCI-DSS) в некоторой степени уникален, поскольку это не государственное постановление, а налагается и соблюдается независимым регулирующим органом, Советом по стандартам безопасности индустрии платежных карт.Любой бизнес, который принимает, хранит или передает данные о держателях карт, подлежит PCI-DSS. Это постановление требует, чтобы компании имели политики и процессы для защиты информации своих клиентов и обеспечения того, чтобы они правильно обрабатывали и сохраняли данные кредитных карт. Это относится даже к предприятиям, которые используют сторонних поставщиков для обработки платежей по кредитным картам. Все предприятия, занимающиеся электронной коммерцией, должны хорошо разбираться в этих требованиях и быть готовы к тому, чтобы их поставщики тоже.

Закон Сарбейнса-Оксли 2002 года (SOX) был принят в ответ на скандал с Enron, и требуется, чтобы публично торгуемые компании соблюдали его. Он предназначен для предотвращения мошенничества, которое имело место, путем установления требований к хранению и хранению деловых записей и штрафов за уничтожение, изменение или фальсификацию записей.

Это включает в себя не только бухгалтерский учет для обеспечения точности записей, но и функцию ИТ для правильного хранения записей. SOX также требует системы для отслеживания изменений в записях и хранения нужных записей в течение нужного периода времени.

Закон штата Калифорния о защите прав потребителей (CCPA) применяется к компаниям, которые ведут бизнес в Калифорнии и либо 1) генерируют 25 миллионов долларов или более годового дохода; 2) покупать или продавать личную информацию 50 000 или более потребителей, домохозяйств или устройств; или 3) получает более половины своего годового дохода от продажи личных данных потребителей.Закон позволяет любому жителю Калифорнии получить полный список данных о них, которыми располагает бизнес, и дает потребителям право знать, с кем компании поделились этими данными. Если компания нарушает принципы конфиденциальности CCPA, потребителям разрешается подавать в суд на компанию, даже если утечки данных не было.

CCPA вступил в силу 1 января 2020 года. Регулирующие органы могут оштрафовать несоответствующие компании предприятия на 7 500 долларов за каждую затронутую запись. Правоприменение начнется, как только будут приняты окончательные правила или до 1 июля 2020 года – в зависимости от того, что наступит раньше.Кроме того, физические лица имеют право подавать иски против предприятий за неспособность защитить данные пользователей (см. Barnes v. Hanna Andersson, LLC).

Из-за сбоев, вызванных коронавирусом в организациях, некоторые в сфере конфиденциальности задаются вопросом, правомерно ли генеральный прокурор Калифорнии Ксавье Бесерра приступить к принудительному исполнению с 1 июля. В конце марта коалиция из 60 групп направила генеральному прокурору письмо с призывом отложить исполнение закона. Однако офис генерального прокурора Калифорнии отверг любые идеи о том, чтобы CCPA не вступил в полную силу, и заявило, что «[они] привержены обеспечению соблюдения закона после окончательной доработки правил или 1 июля, в зависимости от того, что наступит раньше. «

Для получения более подробной информации о том, что организация должна делать, чтобы соответствовать CCPA, ознакомьтесь с этим руководством.

Законопроект 220 Сената Невады вступил в силу в октябре 2019 года и сделал Неваду первым штатом, который пошел по стопам Калифорнии и принял закон о конфиденциальности данных. Законопроект требует, чтобы компании предоставляли потребителям либо номер, по которому они могут позвонить, либо запрос по электронной почте, который они могут отправить, чтобы отказаться от продажи своих данных этим бизнесом. Генеральный прокурор Невады может наложить штрафы до 5000 долларов за каждое нарушение, но потребители не могут подавать иски против компаний, не соблюдающих закон, согласно закону.

Есть некоторые дополнительные различия между законопроектом 220 Сената и CCPA, например, тот факт, что законопроект Сената Невады не требует ссылки «Не продавать мою информацию», различия в том, какая информация распространяется, и более ограниченное определение что считается «продажей» данных о потребителях. Тем не менее, это по-прежнему важный закон, который бизнесы должны понимать и соблюдать. В ближайшие годы, вероятно, будет внесено больше подобных законопроектов, и компании должны быть готовы их встретить, когда они будут приняты на голосование.

Закон Грэмма-Лича-Блайли (GLBA) был принят в 1999 году и требует от компаний, которые предоставляют потребителям ссуды, финансовые или инвестиционные консультации, страхование или другие финансовые продукты и услуги, объяснять своим клиентам свои методы обмена информацией и защиты. . Это также требует от компаний защиты любых конфиденциальных данных, которые они собирают от своих клиентов. GLBA требует, чтобы финансовые учреждения имели письменный план информационной безопасности и имели по крайней мере одного сотрудника, назначенного для координации его программы.

Наказания за нарушение GLBA могут быть высокими: предприятиям грозит штраф в размере 100 000 долларов за каждое нарушение, а лицам – штраф в размере 10 000 долларов и тюремное заключение сроком до 5 лет за нарушение Закона.

Закон о компьютерном мошенничестве и злоупотреблениях (CFAA) был принят в 1986 году и квалифицирует преднамеренный доступ к компьютеру без разрешения как преступное деяние. С тех пор в него были внесены поправки, и его объем расширился, чтобы охватить технологические изменения. Любой, кто получает доступ к компьютеру без авторизации, превышает разрешенный доступ, намеренно повреждает компьютер или использует компьютер для совершения вымогательства, может быть привлечен к ответственности в соответствии с этим законом.

Наказания за нарушение CFAA включают тюремное заключение сроком от одного до 10 лет. CFAA также допускает гражданские иски в некоторых ситуациях, например, если происходит физическая травма или повреждение компьютера, используемого юридическим лицом Соединенных Штатов.

Риски конфиденциальности данных

Компании сталкиваются с многочисленными рисками, связанными с конфиденциальностью данных, когда они собирают, обрабатывают и хранят личные данные или информацию, позволяющую установить личность (PII). Некоторые из наиболее распространенных уязвимостей и рисков перечислены ниже.Чтобы обеспечить соблюдение конфиденциальности данных, компании должны создать рабочие процедуры, обеспечивающие конфиденциальность данных, обучая своих сотрудников и добавляя меры контроля доступа к личным данным. Дополнительную информацию о PII см. В разделе «То, что считается личной информацией, расширяется в соответствии с законом».

  1. Сбор и хранение слишком большого количества личной информации – Каждый раз, когда компания собирает и хранит личные данные или PII, они берут на себя ответственность заботиться о данных и соблюдать действующие правила конфиденциальности.Чтобы снизить риски конфиденциальности данных, компания должна собирать только те личные данные, которые действительно нужны, и хранить их только в том случае, если они понадобятся для использования в будущем. Если не управлять ими, копии личных данных могут распространяться по организации, поэтому предприятиям также следует контролировать практику копирования личных данных.
  2. Использование личных данных в несанкционированных целях – При сборе личных данных компании должны быть прозрачными в отношении того, какие данные будут собираться и как они будут использоваться. Использование данных для другой скрытой цели, будь то намеренное или непреднамеренное, будет представлять собой нарушение нормативных требований.
  3. Уязвимые приложения и недостаточная безопасность данных – Приложения, включая веб-приложения, локальные приложения и устаревшие приложения, доступные в Интернете через современные API-интерфейсы, при хранении личных данных должны быть защищены. Если личные данные не защищены, существует риск их кражи или взлома.
  4. Недостаточные процедуры для доступа к персональным данным – Использование или доступ к персональным данным должны быть ограничены теми, кто действительно в них нуждается.Доступ к приложениям, системам и даже конкретным записям данных, которые содержат личные данные, должен быть ограничен. Конфиденциальность данных будет поддерживаться не только за счет наличия средств контроля доступа, но и за счет здоровых методов и средств контроля, касающихся сохранения паролей и доступа, например, когда сотрудник увольняется из компании.
  5. Недостаточные процессы для удаления личных данных – Некоторые нормативные акты, такие как GDPR, требуют от компаний наличия процедур для удаления личных данных по запросу.Процедуры, которые не удаляют и не анонимизируют все личные данные, подвергают компанию нарушениям нормативных требований и потенциальным штрафам.
  6. Недостаточное реагирование на потерю личных данных – Некоторые нормативные акты, такие как GDPR, требуют, чтобы компании сообщали людям, когда их личные данные были украдены или получили доступ посторонние лица. Процедуры, которые не обеспечивают адекватного информирования людей в течение необходимого периода времени, подвергают компанию нарушениям нормативно-правового соответствия и потенциальным штрафам.
  7. Отсутствие прозрачности в отношении сбора и использования данных – Правила конфиденциальности данных часто требуют четких объяснений того, какие персональные данные собираются и как они используются. Эта информация должна быть общедоступной и легко доступной и обычно содержится в политических документах, таких как политика конфиденциальности, политика файлов cookie и условия использования. Некоторые нормативные акты, такие как GDPR, содержат требования, согласно которым компании должны разглашать все личные данные, хранящиеся о человеке, если это лицо запрашивает эту информацию.Отсутствие таких политик и неспособность своевременно отвечать на информационные запросы приведет к тому, что компания не соблюдает правила.
  8. Обмен данными с третьими сторонами – При сборе личных данных компания должна указать, как эти данные будут использоваться, в том числе кому эти данные будут переданы. Если личные данные собираются и передаются третьей стороне, например партнеру по рекламе / маркетингу или субподрядчику, без ведома и согласия владельца, это будет являться нарушением нормативных требований.
  9. Незащищенная передача данных – Персональные данные должны быть защищены всегда, в том числе при передаче из одной системы в другую. Обычно это достигается с помощью стандартов безопасной передачи данных, таких как SSL.
  10. Адаптация политик конфиденциальности данных по мере изменения требований бизнеса – Для обеспечения соответствия предприятиям следует пересматривать свои политики конфиденциальности данных и рабочие процедуры всякий раз, когда они принимают новые бизнес-решения, такие как продажа через новый канал, привлечение новых третьих сторон, запуск новый продукт или открытие новых офисов в новых штатах или странах.Кроме того, предприятиям также необходимо подумать о последствиях для конфиденциальности, когда они внедряют новые операционные процедуры во время сбоев. Один из примеров – безопасное возвращение сотрудников на рабочие места в разгар пандемии COVID-19. Компании следует знать, что они собирают персональных данных , когда они измеряют температуру тела, чтобы убедиться, что у сотрудника нет COVID-19, или спрашивают сотрудников об их личной деятельности в рамках программы отслеживания контактов. Чтобы получить дополнительную информацию о ключевых аспектах конфиденциальности при переводе сотрудников обратно в физические рабочие места, посетите этот веб-семинар по запросу.

Реализация программы обеспечения конфиденциальности данных

Чтобы неукоснительно соблюдать правила конфиденциальности данных, вам необходимо иметь политику конфиденциальности данных и программу обеспечения конфиденциальности данных. Ниже приведены шаги по созданию и внедрению программы обеспечения конфиденциальности данных.

1. Определите, какие правила конфиденциальности данных применяются к вашему бизнесу

Если у вас нет внутренних экспертов по конфиденциальности данных, вам следует проконсультироваться с внешними экспертами по правовым вопросам, а также с консалтинговыми фирмами, чтобы определить, какие правила конфиденциальности данных применимы к вашему бизнесу и как их практически соблюдать.

По мере изменения технологий или появления новых (например, алгоритмов распознавания лиц) законодательные и регулирующие органы будут обновлять правила для усиления защиты потребителей. Ваша организация должна прилагать согласованные усилия, чтобы быть в курсе нормативных изменений в сфере конфиденциальности данных. Вы можете сделать это, присоединившись к отраслевым ассоциациям, таким как Международная ассоциация профессионалов в области конфиденциальности, крупнейшему и наиболее всестороннему глобальному сообществу по обеспечению конфиденциальности информации.

2.Установить политику конфиденциальности данных

Первое, что необходимо понять вашему бизнесу, когда вы начнете создавать свои политики и процедуры конфиденциальности данных, – это то, что именно необходимо учитывать в политике конфиденциальности данных. Начните с четкого понимания того, кому вы продаете и продаете. Задайте такие вопросы, как:

  • Кто пользователь продукта?
  • Какую информацию о пользователях вы будете собирать?
  • Что ваша компания пытается делать с информацией, которую вы собираете?
  • Каков уровень чувствительности информации?

Вам нужно начать с инвентаризации данных, которая включает в себя все данные о потребителях, которые вы собираете, чтобы у вас была централизованная запись того, что вы собрали и где они хранятся.

Вам также необходимо понимать и указывать в инвентаре данных конфиденциальность информации, которую вы собираете. У вас есть конфиденциальная информация, например, личная информация о здоровье или номера социального страхования?

Наконец, как ваша модель дохода будет использовать собираемые вами данные о потребителях? Как вы собираетесь продавать данные или монетизировать данные? Какие законы о конфиденциальности вы должны разрешать или запрещать? Как эти законы повлияют на вашу способность продавать данные о потребителях и что вы можете предложить потребителям с точки зрения принятия или отказа от продажи их данных?

По мере принятия и вступления в силу большего числа законов о конфиденциальности данных у вашего бизнеса будет больше обязательств по обеспечению конфиденциальности данных перед потребителями, поэтому крайне важно, чтобы у вас была тщательная политика конфиденциальности данных, регулирующая ваши операции.

3. Внедрение рамок конфиденциальности и кибербезопасности и процедур аудита

Пример стандартов соответствия, поддерживаемых Hyperproof

. Не нужно строить догадок, когда речь идет о безопасности и конфиденциальности данных. В настоящее время на рынке существует ряд хорошо зарекомендовавших себя и хорошо принятых стандартов обеспечения кибербезопасности и конфиденциальности данных. Эти стандарты соответствия и процедуры аудита (например, SOC 2, NIST 800-53, ISO 27001) предоставляют подробные каталоги средств управления конфиденциальностью и безопасностью, которые предприятия могут использовать для защиты данных своих клиентов и обеспечения конфиденциальности данных.

Например, SOC 2, процедура аудита, разработанная Американским институтом CPAs (AICPA), определяет критерии для управления данными клиентов на основе пяти принципов «доверительного обслуживания» – безопасности, доступности, целостности обработки, конфиденциальности и конфиденциальности. Если ваша организация собирает, передает, использует или хранит личную информацию, вы можете получить выгоду от прохождения аудита SOC 2 для обеспечения конфиденциальности и безопасности данных, чтобы получить уверенность в том, что личная информация ваших клиентов защищена, и предоставить потенциальным клиентам уверенность в том, что она наличие средств контроля для защиты личной информации клиентов.

ISO / IEC 27701 – еще одна структура конфиденциальности, которую стоит рассмотреть, поскольку она была специально разработана, чтобы помочь организациям соответствовать GDPR. Если ваш бизнес должен соответствовать GDPR, ISO / IEC 27701 предоставляет обширный список рекомендаций, которые помогут вам, когда ваша компания начнет работать над соблюдением GDPR.

ISO 27001 – это дополнительное семейство стандартов, которые ваша организация может выбрать для соблюдения, потому что ISO 27001 предоставляет исчерпывающий список шагов, которые компании могут предпринять для обеспечения безопасности и обеспечения того, чтобы их процессы безопасности могли предотвратить несанкционированный доступ к пользовательским данным.

Чтобы убедиться, что ваши методы защиты данных достаточно надежны для обеспечения безопасности ваших информационных активов, вы захотите ознакомиться с этими структурами соответствия, оценить, как ваш внутренний контроль сочетается с лучшими практиками, изложенными в этих стандартах соответствия ИТ, определить пробелы и внедрить новые политики и процедуры, чтобы закрыть пробелы в вашей среде.

Опять же, если вы впервые внедряете стандарт кибербезопасности или конфиденциальности данных, вам понадобится помощь квалифицированных консультантов, поставщиков программного обеспечения, обладающих опытом в этой области, и аудиторов.

3. Регулярно проводить внутренние аудиты

Для предприятий, соблюдающих несколько нормативных требований в области кибербезопасности и конфиденциальности данных, наличие практики внутреннего аудита имеет решающее значение. Назначение специального профессионала, отвечающего за аудит ваших процессов соответствия и предоставление им доступа к нужным инструментам, – лучший способ выявлять возможные проблемы и предотвращать катастрофы, такие как серьезная утечка данных.

Связанные: Понимание и выполнение аудитов соответствия

4.Ведите подробный учет ваших действий по соблюдению нормативных требований

Один из лучших способов защитить вашу компанию от юридических последствий (например, штрафов и пени) несоблюдения требований – это вести подробный учет ваших действий по соблюдению нормативных требований. Чтобы проиллюстрировать это, давайте взглянем на CCPA. CCPA проводит четкое различие между умышленным и непреднамеренным несоблюдением. Те, кто был уличен в умышленной халатности, заплатят более высокий штраф: 7500 долларов за нарушение на пользователя по сравнению с2500 долларов за нарушение в случаях непреднамеренного несоблюдения. Возможность быстро продемонстрировать соответствие может сэкономить вашему бизнесу значительную сумму денег, если ваш бизнес будет признан нарушающим и расследуется Генеральным прокурором Калифорнии.

Даже при наличии строгой программы соответствия всегда присутствует риск утечки данных или других нарушений. Наличие у вас под рукой подробных отчетов о ваших усилиях по обеспечению соответствия поможет вам продемонстрировать, что вы серьезно относитесь к этому риску и активно работаете над его уменьшением.

Связано: Сбор доказательств: почему это ключевой элемент эффективной программы соблюдения нормативных требований

Конфиденциальность данных и ваш бизнес

Конфиденциальность данных имеет решающее значение для выживания современных предприятий, и руководители организаций должны включить конфиденциальность данных во все процессы или политики, которые касаются данных потребителей в вашей компании. Независимо от размера вашего бизнеса, степени зрелости вашей программы комплаенс или количества людей в вашей группе комплаенс, большинству предприятий есть куда совершенствоваться, когда дело доходит до конфиденциальности данных.

Найдите время, скорее раньше, чем позже, чтобы оценить политику и методы обеспечения конфиденциальности данных вашей компании, чтобы убедиться, что вы используете все ресурсы, имеющиеся в вашем распоряжении, для защиты данных своих клиентов, прибыли вашего бизнеса и доверия клиентов. в вашей компании.

Программное обеспечение непрерывного соответствия Hyperproof доступно бесплатно во время кризиса COVID-19

Чтобы помочь организациям соответствовать разрозненным правилам конфиденциальности данных в это непростое время, Hyperproof предлагает нашу непрерывную бесплатную подписку на программное обеспечение для обеспечения соответствия нормативным требованиям.Это предложение включает в себя основную платформу Hyperproof и два шаблона соответствия, ориентированные на требования конфиденциальности, принятые в США и Европейском Союзе: Закон Калифорнии о конфиденциальности потребителей (CCPA) и Общие правила защиты данных (GDPR). Hyperproof делает эти программы доступными в связи с растущим объемом личной информации, которой необходимо обмениваться с рекордной скоростью для защиты наших сообществ.

Свяжитесь с Hyperproof здесь, чтобы получить бесплатную подписку во время кризиса с коронавирусом.

Немецкое руководство DPA по защите данных сотрудников и проблемам COVID-19

Конференция немецких органов по защите данных («DSK»), орган федеральных и государственных органов по защите данных («DPA») в Германии, недавно выпустила совместные рекомендации относительно обработки работодателями личных данных сотрудников в контексте коронавируса. (“COVID-19 пандемия. ДСК дает понять, что защита данных не препятствует мерам по борьбе с COVID-19.Согласно DSK, работодатели могут собирать персональные данные сотрудников, чтобы предотвратить распространение вируса на рабочем месте. Работодатели также могут обрабатывать персональные данные посетителей рабочих мест в целях, связанных с COVID-19. Однако все меры должны быть соразмерными.

Федеральный уполномоченный по защите данных

DSK опубликовал подробные инструкции на веб-сайте Управления Федерального комиссара по защите данных Германии. В руководстве поясняется следующее:

  • Цели : Работодатели могут собирать и обрабатывать личные данные сотрудников и посетителей, включая информацию о здоровье, чтобы определить, (1) инфицированы ли они или контактировали с инфицированным человеком, или (2) находились ли они в зона повышенного риска в соответствующий период.Раскрытие личных данных инфицированных лиц (подтвержденных и подозреваемых) для информирования других является законным только в том случае, если при исключительных обстоятельствах строго необходимо знать личность этого человека, чтобы другие могли принять соответствующие меры предосторожности.
  • Правовая основа: Соответствующей правовой основой для такой обработки данных работодателями в частном секторе является правовая основа законных интересов Общего регламента ЕС по защите данных («GDPR») (статья 6 (1) (f)). В случае обработки медицинской информации соответствующей правовой основой является правовая основа GDPR в области занятости и социальной защиты (т. Е. Обработка, необходимая для выполнения обязательств и реализации определенных прав контролера или субъекта данных в области Закон о занятости, социальном обеспечении и социальной защите – статья 9 (2) (b). Кроме того, в руководстве отмечается, что раздел 26 (3) Федерального закона Германии о защите данных включает дополнительные требования к правовым основам GDPR в области занятости и социальной защиты, чтобы обрабатывать конфиденциальные данные, в частности, что нет оснований полагать, что субъект данных имеет преимущественный законный интерес не обрабатывать данные.Меры против третьих сторон, требующие обработки данных о состоянии здоровья, могут быть оправданы на основании правовых основ GDPR в отношении обработки, необходимой по причинам общественного интереса в области общественного здравоохранения, таких как защита от серьезных трансграничных угроз здоровью (статья 9 (2) (i)).
  • Согласие: Согласие субъектов данных может рассматриваться как правовое основание для мер COVID-19 только в том случае, если субъекты данных проинформированы об обработке данных и могут добровольно дать согласие на меры.

Кроме того, Федеральный комиссар по защите данных опубликовал общие ответы на часто задаваемые вопросы, в которых, помимо прочего, разъясняется следующее:

  • Обязанность проявлять заботу: Что касается правовых оснований, то правовая основа законных интересов работодателя и, в отношении данных о здоровье, правовая основа занятости и социальной защиты, вытекают из общей обязанности работодателя проявлять заботу о своих сотрудниках. сотрудники. Работодатель обязан заботиться о здоровье всех своих сотрудников.Это также включает в себя разработку надлежащих мер реагирования на распространение COVID-19, в частности, для целей предотвращения и отслеживания (т. Е. Последующей профилактики по отношению к контактным лицам).
  • Типы данных : Нет однозначного ответа на вопрос, какие персональные данные разрешено обрабатывать работодателю в контексте пандемии COVID-19. Однако критерии должны заключаться в том, необходима ли обработка для определенной цели (например, обработка, которая необходима для защиты здоровья сотрудников и соблюдения установленных законом обязательств по отчетности), а также для реализации принципа минимизации данных GDPR.Федеральный уполномоченный по защите данных не обеспокоен обработкой следующих категорий персональных данных сотрудников, подрядчиков и посетителей в связи с пандемией COVID-19:
    • Имя;
    • Актуальная контактная информация;
    • Контакты с другими лицами внутри организации;
    • Предыдущее или предполагаемое пребывание в зоне повышенного риска;
    • Предыдущие контакты с предположительно инфицированными людьми; или,
    • Отсутствие у человека симптомов.
  • Сохранение: Данные должны быть удалены, когда первоначальная цель обработки больше не применяется. Например, данные посетителей могут быть удалены через 1 – 3 месяца, если работодателю не стало известно о случаях заражения.

Кроме того, Федеральный комиссар по защите данных опубликовал ответы на часто задаваемые вопросы о конфиденциальности сотрудников, в которых разъясняются следующие моменты:

  • Частная контактная информация: Работодатель может собирать частные мобильные номера и адреса электронной почты сотрудников, поскольку их использование может быть необходимо для обеспечения постоянной доступности этих лиц во время кризиса COVID-19.Эти средства связи могут потребоваться для быстрого предоставления информации и предупреждений сотрудникам в случае болезни или в случае перегрузки ИТ-инфраструктуры, когда внутри рабочих подразделений следует организовать другое устройство. Однако следует проявлять осторожность, чтобы не передавать конфиденциальную информацию через небезопасные средства связи или службы электронной почты, поскольку может существовать риск несанкционированного доступа третьих лиц к таким данным.
  • Кандидаты в производственный совет: Нет проблем с публикацией предложений о выборах в производственный совет на странице компании во внутренней сети, поскольку это не является раскрытием информации третьим лицам.
  • Обработка файлов сотрудников в домашнем офисе: Обработка файлов сотрудников в домашнем офисе может происходить только в исключительных обстоятельствах, если это строго необходимо и при условии, что были приняты технические и организационные меры для защиты личных данных в домашний офис. Федеральный комиссар по защите данных рекомендует, среди прочего, следующие технические и организационные меры для использования в домашнем офисе:
    • Регулярные напоминания о соблюдении правил и принципов защиты данных;
    • Перевозка бумажных папок в курьерских папках, в закрывающихся ящиках с двумя кодовыми замками;
    • Ведение списка перенесенных и возвращенных файлов;
    • Наличие отдельного запираемого помещения под домашний офис;
    • Блокировка документов дома;
    • Не избавляться от документов в домашнем офисе;
    • Исключительное использование аппаратных компонентов, одобренных для идентификации и аутентификации в сети компании;
    • Аппаратное и программное шифрование;
    • Трехуровневая система парольной аутентификации;
    • Ведение файлов журнала доступа;
    • Оценка файлов журналов, особенно в отношении личного использования;
    • Не печатает в домашнем офисе; и,
    • При необходимости использовать защитные пленки.

Аналогичное руководство по COVID-19 было выпущено несколькими государственными органами по защите данных в Германии, в том числе следующими:

Что такое политика конфиденциальности сотрудников?

Политика конфиденциальности сотрудников – это документация, определяющая правила и процедуры организации для сбора, использования и раскрытия личной информации бывших, нынешних или потенциальных сотрудников. Некоторые элементы политики конфиденциальности могут быть предписаны трудовым законодательством, в то время как другие относятся к конкретной организации.

Политика конфиденциальности сотрудников должна определять, что составляет личную информацию и способы ее сбора. Как правило, большинство компаний определяют личную информацию, чтобы включать все данные сотрудников (например, домашний адрес и историю работы), а также все сообщения, не связанные с работой.

Политика должна четко определять ситуации, в которых сотрудник не должен предполагать, что его данные и общение являются конфиденциальными. Например, телефонные звонки, текстовые сообщения, электронные письма и сообщения в социальных сетях, которые передаются на корпоративном оборудовании, не защищены законом.Программное обеспечение и веб-сайты, которые не требуются для деловых целей, могут быть ограничены в соответствии с политикой или заблокированы для предотвращения проблем.

Также важно указать, при каких условиях будут раскрыты данные о сотрудниках. Эти условия могут включать ситуации, когда сотрудник дал согласие, чрезвычайные ситуации и правовые ситуации, такие как ордер или постановление суда.

Политика конфиденциальности

также должна раскрывать любые системы мониторинга сотрудников, такие как видеозаписи.Сотрудникам должны быть предоставлены копии политики конфиденциальности и они должны подтвердить, что они прочитали и поняли ее.

Личные данные становятся все более ценными, поскольку сетевые устройства часто используются в рабочих и личных целях. При обмене конфиденциальными данными на этих устройствах, как правило, существуют опасения по поводу личных данных – сотрудники обеспокоены тем, что их данные могут плохо обрабатываться и попадать злоумышленникам. Хорошая политика конфиденциальности сотрудников направлена ​​на предотвращение этих опасений за счет предварительного раскрытия информации.

Частые проблемы с конфиденциальностью сотрудников

Вопросы, связанные с конфиденциальностью, которые могут быть обеспокоены сотрудниками, включают следующее:

  • Какая личная информация / данные о них собираются.
  • Зачем собирают.
  • С кем он делится.
  • Как защищается их конфиденциальная личная информация / данные.
  • Конфиденциальность электронной почты.
  • Контролируется ли использование активов компании (таких как мобильные устройства, Интернет).
  • Подлежат ли они видеонаблюдению.
  • Должны ли они проходить проверку биографических данных и / или тесты на наркотики.
  • Контролируется и / или контролируется ли использование ими социальных сетей за пределами компании.
  • Что происходит с их личной информацией / данными после увольнения и / или прекращения работы на работодателя.
  • Каковы их права на неприкосновенность частной жизни в отношении их личной информации / данных, такие как их способность получить доступ, отказаться от предоставления, запросить удаление, изменить, исправить или передать свои личные данные.

Что такое защищенная информация о сотрудниках?

Как правило, только личная информация (также известная как личные данные, или личная информация, или PII) находится под особой защитой в соответствии с положениями о конфиденциальности данных сотрудников. Обычно это один или несколько типов личной информации, которая идентифицирует или связана с идентифицируемым живым человеком (например, имя, адрес, номер телефона, дата рождения, номер социального страхования, медицинские записи и т. Д.). комбинация такой информации, которая потенциально может идентифицировать человека (например,g., дату рождения, пол и почтовый индекс вместе).

Определенным типам конфиденциальных данных часто предоставляется усиленная защита в соответствии с положениями о конфиденциальности, такими как GDPR (Общие правила конфиденциальности данных). Конфиденциальные данные в соответствии с GDPR, например, включают расу, этническую принадлежность или национальное происхождение, политические взгляды или ассоциации, членство в профсоюзах, сексуальную ориентацию, семейное положение, информацию, связанную со здоровьем, и криминальное прошлое.

В Соединенных Штатах несколько федеральных законов США защищают определенные типы личной информации.Одним из ключевых законов является Закон о переносимости и подотчетности медицинского страхования (HIPAA), который защищает PII, когда она используется в медицинском контексте (для организаций, на которые распространяется действие страховки). В совокупности (PII + медицинская информация) этот тип персональных данных известен как PHI (Personal Health Information). Кроме того, в большинстве штатов США действуют законы, касающиеся защиты данных и уведомления о нарушении безопасности. Многие из этих законов ориентированы на кражу личных данных и / или меры финансовой защиты, которые обычно направлены на защиту номеров социального страхования и аналогичной финансовой личной информации от несанкционированного использования или разглашения.

Некоторые штаты США, например Калифорния, приняли более строгие и всеобъемлющие законы о конфиденциальности, и ожидается, что эта тенденция сохранится в Соединенных Штатах. Эти законы предлагают потребителям, которых они касаются, более полную защиту конфиденциальности данных.

Создание политики конфиденциальности сотрудников

В целом, отличный способ подготовиться к созданию уведомления о конфиденциальности для сотрудников – это создать реестр обработки персональных данных, реестр данных и / или карту данных, на которой будут указаны следующие данные:

  • Бизнес-процессы, выполняемые вашей организацией, с использованием персональных данных и их целей.
  • Как собираются данные для каждого бизнес-процесса.
  • Как данные используются организацией.
  • Где хранятся данные и кому (внутренне и внешне) они передаются.
  • Куда и как передаются данные.
  • Как данные защищены.
  • Как долго хранятся данные.

Вышеуказанная информация может затем использоваться для определения того, какие правила конфиденциальности применяются к личной информации / данным, и может использоваться для создания совместимых процессов и уведомления о конфиденциальности, которое отвечает требованиям этих правил.

Политика конфиденциальности сотрудников должна включать:

  • Категории личной информации и данных, которые работодатель собирает о сотруднике.
  • Как используются персональные данные / данные / цель обработки.
  • Правовая основа для обработки личной информации / данных, если применимо.
  • Получатели или категории получателей личной информации / данных.
  • Будет ли передаваться личная информация / данные за пределы страны, а также правовой механизм защиты данных при передаче, где это применимо.
  • Политика хранения и безопасности в отношении личной информации / данных.
  • Как долго организация будет хранить личную информацию / данные; как это было решено.
  • Права сотрудников в отношении личной информации / данных, если применимо.
  • Любые законодательные обязательства работодателя в отношении личной информации / данных.
  • Как реализовать свои права (к кому обращаться), если применимо.
  • Дата вступления в силу уведомления о конфиденциальности.

Обратите внимание: элементы, которые должны быть включены, зависят от штата, а также от того, распространяется ли регулирование на конкретных сотрудников.

Законы и федеральные постановления

Вот несколько примеров законов и федеральных постановлений:

HIPAA (Закон о переносимости и подотчетности медицинского страхования)

  • Защищает конфиденциальность и безопасность защищенной медицинской информации. Соответствие требованиям необходимо для медицинских организаций и их деловых партнеров.

GINA (Закон о недискриминации генетической информации)

  • Защищает американцев от дискриминации на основании генетической информации (например, генетического тестирования и семейного медицинского анамнеза) от работодателей и поставщиков медицинского страхования.

FACTA (Закон о справедливых и точных кредитных операциях)

  • Устанавливает требования к конфиденциальности, точности и удалению информации; ограничивает способы легального распространения информации о потребителях.

CCPA (Закон штата Калифорния о конфиденциальности потребителей). Позволяет сотрудникам:

  • Знайте, какие данные о них собираются.
  • Знайте, продаются или передаются их личные данные и с кем.
  • Заблокировать продажу собственных персональных данных.
  • Доступ к своим личным данным.
  • Запросить у компании удаление личных данных.
  • Не подвергаться дискриминации за использование своего права на неприкосновенность частной жизни.

Государственные законы о защите данных. В каждом штате США (а также в Вашингтоне, округе Колумбия, Гуаме, Пуэрто-Рико и Виргинских островах) есть законы, требующие от организаций уведомлять отдельных лиц в случае нарушения безопасности личной информации. Актуальную информацию о правилах важно проверять в законах конкретного штата.

Конфиденциальность на рабочем месте. В то время как видеонаблюдение является законным на рабочих местах, если оно раскрыто, оно незаконно в других местах общего пользования, таких как туалеты и комнаты отдыха.В Соединенных Штатах видеонаблюдение не может включать аудиозаписи, что запрещено законом о прослушивании телефонных разговоров.

Уведомление о конфиденциальности сотрудников Twilio

Мы считаем, что наши сотрудники, как и наши клиенты, заслуживают подхода «без махинаций» к своим личным данным. С этой целью мы составили это уведомление о конфиденциальности, чтобы вы лучше понимали, какие персональные данные мы собираем от вас как сотрудника или кандидата на работу, для чего мы используем эти персональные данные и кому мы их раскрываем.

См. Информацию о сборе данных Twilio о посетителях его веб-сайта или о пользователях его продуктов и услуг.

Для переводов Уведомления о конфиденциальности сотрудников Twilio см. Переводы на эстонский, немецкий, испанский или шведский языки. Переведенные версии предоставлены только для удобства. В случае каких-либо различий в значении между версией на английском языке и любой переведенной версией, версия на английском языке будет иметь преимущественную силу.)

Для целей данного уведомления:

  • Слова «наш», «нас», «мы» и «Twilio» относятся к Twilio Inc., нашим дочерним компаниям и другим аффилированным лицам (включая любое физическое или юридическое лицо, которое контролирует нас, контролируется нами или находится под общим с нами контролем, например, нашей дочерней компанией, материнской компанией или нашими сотрудниками).
  • Термин «сотрудник» относится ко всем сотрудникам, директорам, должностным лицам и членам Совета директоров Twilio. Для целей этого уведомления о конфиденциальности оно также относится к другим консультантам и индивидуальным подрядчикам, нанятым Twilio, даже если они не являются другими сотрудниками;
  • Термин «соискатель сотрудника» будет относиться к лицам, которые отправили в Twilio информацию (например, резюме или заявление о приеме на работу), чтобы подать заявку на получение статуса сотрудника Twilio;
  • Термин «персональные данные» означает любую информацию, которая относится к идентифицируемому живому человеку и относится к одному или нескольким факторам, характерным для их физической, физиологической, умственной, экономической, культурной или социальной идентичности.
  • Термин «конфиденциальные персональные данные» означает персональные данные о физическом или психическом здоровье, расовом или этническом происхождении, политических или религиозных взглядах, членстве в профсоюзе, сексуальной ориентации, генетических данных, биометрической информации, совершении или предполагаемом совершении преступления или связанных с ним преступлениях. судебные процессы, личные данные детей и, в некоторых странах, финансовая информация. Конфиденциальные личные данные обычно подлежат еще более строгому контролю и защите.

Соответствие местным законам

Это уведомление о конфиденциальности является общим руководством по тому, как Twilio обрабатывает личные данные сотрудников и сотрудников-кандидатов.

Вы должны знать, что законы о конфиденциальности данных могут различаться в разных юрисдикциях, где Twilio работает и имеет сотрудников. Политика Twilio заключается в соблюдении местного законодательства, включая требования в некоторых странах, согласно которым Twilio уведомляет своих сотрудников в этой стране о своих методах обработки персональных данных и в некоторых случаях получает согласие на такие методы.

Там, где местные законы более строгие, чем политики, описанные в этом уведомлении, Twilio применяет особые методы обеспечения конфиденциальности в этих местах для удовлетворения этих более строгих требований.Если местные законы менее строгие, чем эта политика, применяются меры защиты, описанные в этом уведомлении.

Какие личные данные мы собираем и как мы их собираем?

Twilio собирает и хранит различные типы личных данных о сотрудниках и соискателях, например:

  • Идентификационные данные – такие как ваше имя, пол, фотография, дата рождения, идентификационный номер сотрудника, языки.
  • Контактная информация – например, домашний адрес, телефон, адреса электронной почты и контактные данные для экстренных случаев.
  • Сведения о занятости – такие как должность / должность, местонахождение офиса, даты найма, трудовые договоры, служебные и дисциплинарные записи, процедуры рассмотрения жалоб, записи о болезни / отпусках.
  • Образование и профессиональная подготовка – например, академическая / профессиональная квалификация, образование, резюме / резюме, рекомендательные письма и записи собеседований, данные о судимости (для целей проверки, где это допустимо и в соответствии с применимым законодательством).
  • Национальные идентификаторы – например, национальный идентификатор / паспорт, иммиграционный статус и документы, визы, номера социального страхования (только для США), номера национального страхования.
  • Информация о супруге, бенефициаре и иждивенцах , семейное положение.
  • Финансовая информация – такая как банковские реквизиты, налоговая информация, информация о заработной плате, удержания, заработная плата, льготы, расходы, надбавки компании, акции и субсидии.
  • ИТ-информация – информация, необходимая для обеспечения доступа к ИТ-системам и сетям Twilio, такая как IP-адреса, файлы журналов, информация для входа в систему, инвентаризация программного и аппаратного обеспечения. Дополнительную информацию о том, как мы обрабатываем ИТ-информацию, см. В разделе «Мониторинг» ниже.
  • Медицинская информация – например, информация о краткосрочной или долгосрочной инвалидности или заболеваниях, которой вы могли бы поделиться со своим HRBP или руководителем, особенно в отношении любого отпуска, который вам может потребоваться.
  • Другая информация, которой вы хотите поделиться с нами – например, хобби, социальные предпочтения и т. д.

Мы также можем собирать определенные демографические данные, которые квалифицируются как конфиденциальные личные данные, такие как раса, этническая принадлежность, сексуальная ориентация и инвалидность, чтобы помочь нам понять разнообразие нашей рабочей силы.Сбор этой информации обычно осуществляется на добровольной основе по согласованию, и сотрудники и кандидаты сотрудников не обязаны предоставлять эту информацию, за исключением случаев, когда нам необходимо собирать такую ​​информацию для выполнения наших юридических обязательств.

Чаще всего личные данные, которые мы собираем от сотрудников и соискателей, собираются напрямую от них. В некоторых случаях мы можем собирать персональные данные о сотрудниках и соискателях от третьих лиц, например, когда мы проводим проверку биографических данных, необходимую для выполнения этой роли сотрудником.В большинстве случаев мы получим ваше разрешение, прежде чем собирать персональные данные о вас от третьей стороны.

Если мы попросим вас предоставить какие-либо другие персональные данные, не описанные выше, то персональные данные, которые мы попросим вас предоставить, и причины, по которым мы просим вас предоставить их, будут вам разъяснены в момент, когда мы их собираем. .

Для чего мы используем персональные данные?

Twilio использует и раскрывает личные данные, которые мы собираем, в первую очередь, для управления нашими трудовыми отношениями с вами, а также для других деловых целей.Такие виды использования включают:

  • определение права на прием на работу, включая проверку рекомендаций и квалификаций и, если это разрешено законом, проведение проверок биографических данных;
  • администрирование заработной платы и льгот, а также обработка требований сотрудников, связанных с работой (например, компенсация работникам, страховые требования и т. Д.), И запросов на отпуск;
  • , устанавливающие требования к обучению и / или развитию;
  • проверка выполнения работ и определение требований к производительности;
  • дисциплинарные взыскания или прекращение;
  • установление экстренных контактов и реагирование на чрезвычайные ситуации;
  • в соответствии с законами и постановлениями (e.г. законы о труде и занятости, законы о здоровье и безопасности, налоги, антидискриминационные законы), с разрешения суда, или для осуществления или защиты законных прав;
  • составление внутренних справочников, например справочников сотрудников;
  • для выявления мошенничества или иных правонарушений;
  • ИТ-безопасность и администрирование; и
  • для других законных целей, разумно необходимых для повседневных операций, таких как бухгалтерский учет, финансовая отчетность и бизнес-планирование.

Мы также можем использовать ваши личные данные для других законных целей, о которых мы вам сообщим, и при условии, что мы получим ваше согласие на такое использование, если это требуется по закону.

Правовая основа для обработки персональных данных (только для сотрудников из ЕЭЗ)

Если вы являетесь сотрудником в Европейской экономической зоне (ЕЭЗ), наша правовая основа для сбора и использования персональных данных, описанных выше, будет зависеть от соответствующих персональных данных и контекст, в котором мы его собираем. Однако, как правило, мы собираем персональные данные от вас только в том случае, если у нас есть ваше согласие на это, где нам нужны персональные данные для выполнения нашего трудового договора с вами, когда нам нужны персональные данные для выполнения наших юридических обязательств или осуществления прав. в сфере занятости или когда обработка осуществляется в наших законных интересах и не нарушается вашими интересами защиты данных или основными правами и свободами.В некоторых случаях нам могут потребоваться персональные данные для защиты ваших жизненно важных интересов или интересов другого человека (например, нам может потребоваться передать ваши персональные данные третьим лицам в случае возникновения чрезвычайной ситуации на работе).

Если мы просим вас предоставить личные данные в соответствии с требованиями закона или для выполнения договора с вами, мы проясним это в соответствующее время и сообщим вам, является ли предоставление ваших личных данных обязательным или нет (как а также возможные последствия, если вы его не предоставите).

Аналогичным образом, если мы собираем и используем ваши личные данные в соответствии с нашими законными интересами (или интересами третьей стороны), которые не указаны выше, мы проясним вам в соответствующее время, каковы эти законные интересы.

Если у вас есть вопросы или вам нужна дополнительная информация о правовой основе, на которой мы собираем и используем ваши личные данные, свяжитесь с нами, используя контактную информацию, указанную в разделе «Вопросы?» раздел ниже.

Мониторинг

Twilio осуществляет физический и электронный мониторинг своих офисов и использования наших информационных и коммуникационных систем для определенных целей.

Например, мы можем контролировать активность и присутствие сотрудников в наших офисах с помощью считывателей бейджей, листов входа и камер наблюдения. Обычно мы делаем это, чтобы предотвратить несанкционированный доступ в наши офисы и защитить сотрудников, авторизованных посетителей и нашу собственность.

Twilio может также отслеживать или записывать активность в наших информационных и коммуникационных системах и сети, такую ​​как интернет-трафик, фильтрация веб-сайтов, электронная почта или доступ к системам. Дополнительную информацию об электронном мониторинге можно найти в разделе «Собственность Twilio» Руководства для сотрудников.

Если это разрешено законом, мы также можем проводить мониторинг для других целей, таких как:

  • Подтверждение деловых операций и архивирование;
  • Обучение и аттестация сотрудников;
  • Защита конфиденциальной информации, интеллектуальной собственности и других деловых интересов;
  • Для расследования нарушений политик и процедур Twilio или других незаконных или ненадлежащих действий;
  • Для соблюдения юридических обязательств;
  • Другие законные цели, разрешенные действующим законодательством.

В процессе мониторинга офисов, систем, сети и связанных с работой мероприятий Twilio мы можем столкнуться с личными данными сотрудников или кандидатов на работу. Мониторинг будет осуществляться пропорционально и только в соответствии с требованиями или разрешенными действующим законодательством. Twilio всегда будет стремиться уважать разумные ожидания сотрудников в отношении конфиденциальности.

Наконец, мы хотим, чтобы вы знали, что весь рабочий продукт сотрудников Twilio, а также инструменты, используемые для создания этого рабочего продукта, где бы они ни находились, принадлежат Twilio, и мы можем просматривать и контролировать их для целей, описанных выше.

Кому мы передаем ваши данные?

Мы заботимся о том, чтобы к вашим личным данным могли получить доступ только те, кому это действительно необходимо для выполнения своих задач и обязанностей, а также третьи лица, у которых есть законная цель для доступа к ним.

Мы можем передавать ваши персональные данные другим сотрудникам, другим компаниям группы Twilio, подрядчикам, консультантам и поставщикам услуг, которым требуются данные, чтобы помочь Twilio установить, управлять или прекратить вашу работу в Twilio, включая стороны, которые предоставляют нам продукты или услуги. или от нашего имени и сторон, которые сотрудничают с нами для предоставления вам услуг.Например, мы привлекаем третьи стороны, такие как поставщики программ вознаграждения сотрудников, службы поддержки заработной платы и службы управления командировками сотрудников. В некоторых случаях эти стороны могут также предоставлять нам определенные ИТ-услуги и услуги по обработке данных, чтобы мы могли вести наш бизнес. Когда мы передаем персональные данные этим сторонам, мы обычно требуем, чтобы они использовали или раскрывали эти персональные данные только в соответствии с инструкциями Twilio и в соответствии с настоящим Уведомлением о конфиденциальности. Мы также заключаем контракты с этими сторонами, чтобы убедиться, что они соблюдают конфиденциальность ваших личных данных и принимают соответствующие меры безопасности.

Если мы проходим через корпоративную продажу, слияние, реорганизацию, роспуск или подобное событие, личные данные, которые мы получаем от вас, могут быть переданы в связи с таким событием. Любой покупатель или правопреемник Twilio может продолжать использовать данные, как описано в этом уведомлении, при условии, что покупатель или правопреемник связан соответствующими соглашениями или обязательствами и может использовать или раскрывать ваши личные данные только в соответствии с положениями об использовании и раскрытии это уведомление, или если вы не дадите согласия на иное.

Мы также можем раскрыть ваши личные данные третьей стороне при следующих обстоятельствах:

  1. , если мы добросовестно полагаем, что мы вынуждены действовать в соответствии с любым применимым законом, постановлением, судебным процессом или государственным органом;
  2. , если это необходимо для реализации, установления или защиты законных прав, в том числе для обеспечения соблюдения наших соглашений и политик;
  3. для защиты прав или собственности Twilio;
  4. в связи с регулярной отчетностью перед другими членами корпоративной семьи Twilio;
  5. для защиты Twilio, других наших клиентов или общественности от вреда или незаконных действий;
  6. для реагирования на чрезвычайную ситуацию, которая, как мы полагаем, добросовестно требует от нас раскрытия данных для предотвращения ущерба; или
  7. с вашего согласия.

Международные операции и переводы за пределы вашей юрисдикции

Ваши личные данные могут собираться, использоваться, обрабатываться, храниться или раскрываться нами и нашими поставщиками услуг за пределами вашей юрисдикции, в том числе в США, а в некоторых случаях и в других страны. В этих странах могут действовать законы о защите данных, отличные от законов вашей страны. Twilio передает личные данные в другую страну, в том числе в рамках корпоративной семьи Twilio, только в соответствии с применимыми законами о конфиденциальности и при условии, что данные защищены надлежащим образом.

Twilio разработала и внедрила набор Обязательных корпоративных правил («BCR») для международных переводов между организациями Twilio в Европейском Союзе и организациями Twilio в других местах. Они были одобрены органами по защите данных Европейского Союза и являются обязательством Twilio адекватно защищать личную информацию, обрабатываемую Twilio, независимо от того, где она находится. Вы можете получить доступ к BCR Twilio здесь.

Кроме того, если BCR Twilio не применяются, мы будем полагаться на Стандартные договорные положения Европейской комиссии для передачи персональных данных между компаниями группы Twilio, которые требуют, чтобы все компании группы защищали персональные данные, которые они обрабатывают из Европейской экономической зоны в соответствии с Законы ЕС о защите данных.Стандартные договорные условия нашей Комиссии могут быть предоставлены по запросу.

Мы позаботимся о том, чтобы ваши личные данные обрабатывались в соответствии с настоящим Уведомлением о конфиденциальности и нашими Обязательными корпоративными правилами, где бы мы их ни обрабатывали.

Как мы защищаем ваши данные?

Мы используем соответствующие технические и организационные меры безопасности для защиты ваших личных данных как онлайн, так и офлайн, включая реализацию контроля доступа, внедрение брандмауэров, обнаружение сетевых вторжений и использование антивирусного программного обеспечения. Обратите внимание, что ни одна система не является полностью безопасной. Таким образом, хотя мы стремимся защитить ваши данные, мы не можем гарантировать, что несанкционированный доступ, взлом, потеря данных или нарушение данных никогда не произойдет.

Как вы обновляете свои личные данные?

Важно, чтобы информация, содержащаяся в наших записях, была точной и актуальной. Мы предлагаем различные инструменты самопомощи, которые позволят вам обновить некоторые ваши личные данные в наших записях. Если ваши личные данные меняются в процессе вашей работы, воспользуйтесь этими инструментами самопомощи, чтобы обновить эти данные, если таковые имеются, или позвольте HR Ops (HROps @ twilio.com) знают об этих изменениях.

Как запросить доступ к своим личным данным?

Некоторые инструменты самообслуживания Twilio позволяют просматривать и / или обновлять личные данные, которые мы храним. Если у нас есть персональные данные, к которым вы не можете получить доступ через эти системы самообслуживания, вы можете отправить запрос своему бизнес-партнеру отдела кадров. Пожалуйста, сделайте этот запрос в письменной форме (можно по электронной почте). Мы можем запросить у вас информацию для подтверждения вашей личности и оценки вашего права на доступ к запрошенным личным данным.Вы также можете потребовать, чтобы мы удалили персональные данные, которые, по вашему мнению, являются неточными или более не актуальными, таким же образом. Конечно, нам может потребоваться отказать в доступе или удалении личной информации в определенных случаях, например, когда предоставление доступа может нарушить чьи-либо права на конфиденциальность или повлиять на наши юридические обязательства.

Какие еще права у вас есть в отношении ваших личных данных?

Помимо возможности обновлять, исправлять и получать доступ к своим личным данным, вы также можете иметь другие права на защиту данных.

Например, если мы собрали и обработали ваши личные данные с вашего согласия, вы имеете право отозвать свое согласие в любое время. Отзыв вашего согласия не повлияет на законность любой обработки, которую мы провели до вашего отзыва, а также не повлияет на обработку ваших личных данных, выполняемую на других законных основаниях, кроме согласия.

Кроме того, начиная с мая 2018 года, если вы являетесь сотрудником в определенных регионах (например, в ЕЭЗ), у вас могут быть определенные дополнительные права в отношении ваших личных данных, например:

  • Право на возражать против обработки ваших личных данных, попросите нас ограничить обработку ваших личных данных или запросить переносимость ваших личных данных.
  • Для удаления ваших личных данных в ряде других обстоятельств, например, когда они были незаконно обработаны или когда нет никаких преимущественных законных оснований для обработки.

Вы можете отправить любой из этих запросов, используя контактную информацию, указанную в разделе «Вопросы?» раздел ниже. Мы ответим на все запросы в соответствии с действующим законодательством о защите данных.

Как долго мы храним ваши личные данные?

Мы будем хранить ваши персональные данные до тех пор, пока это необходимо для достижения целей, описанных выше, или в соответствии с требованиями законодательства. Как правило, это означает, что мы будем хранить ваши личные данные до конца вашей работы у нас, а также в течение разумного периода времени после этого, если это необходимо для ответа на любые запросы о приеме на работу, решения юридических, налоговых, бухгалтерских или административных вопросов или для предоставления у вас постоянная пенсия или другие льготы.

Если у нас нет постоянной законной деловой потребности в обработке ваших личных данных, мы либо удалим их, либо анонимизируем, либо, если это невозможно (например, потому что ваши личные данные хранились в резервных архивах), мы надежно хранить ваши личные данные и изолировать их от дальнейшей обработки до тех пор, пока их удаление не станет возможным.

Изменения в этом уведомлении о конфиденциальности

Мы можем время от времени вносить обновления или изменения в это уведомление о конфиденциальности из-за изменений в применимых законах или нормативных актах или из-за изменений в нашей практике обработки персональных данных. Мы будем уведомлять вас о любых существенных изменениях, которые влияют на ваши личные данные, и если согласие необходимо для внесения изменений в нашу практику в отношении ваших личных данных, мы не будем применять изменения к вашим личным данным до тех пор, пока мы не получим такое согласие. .

Вы можете увидеть, когда это Уведомление о конфиденциальности было обновлено в последний раз, проверив дату «последнего обновления», отображаемую в верхней части этого Уведомления о конфиденциальности.

Вопросы?

Вопросы по этому уведомлению можно направлять по адресу [email protected] Кроме того, вы также можете задать любые вопросы или проблемы непосредственно своему непосредственному руководителю, местному отделу кадров или через группу по обеспечению конфиденциальности.

Кроме того, для наших сотрудников из ЕС:

  • Контроллером данных ваших личных данных будет юридическое лицо, которое нанимает вас (например,г. Twilio Ireland Limited для сотрудников из Ирландии).
  • Вы также имеете право подавать любые жалобы или проблемы в местный орган по защите данных. Вы можете найти список европейских DPA здесь: http://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm

Для сотрудников Twilio в Германии, вопросы или запросы о сотрудниках- вопросы, связанные с конфиденциальностью, можно направлять по адресу [email protected]

Пример положений о конфиденциальности данных: 5 тыс. Примеров

Конфиденциальность данных .Настоящим Участник прямо и недвусмысленно соглашается на сбор, использование и передачу в электронной или иной форме личных данных Участника, как описано в любых материалах гранта MSU, работодателем, Компанией и между ними, в зависимости от обстоятельств. Аффилированное лицо с исключительной целью реализации, администрирования и управления участием Участника в Плане. Участник понимает, что Компания и Работодатель могут хранить определенную личную информацию об Участнике, включая, помимо прочего, имя Участника, домашний адрес и номер телефона, адрес электронной почты, дату рождения, социальное страхование, паспорт или другой идентификационный номер. (е.g., регистрационный номер резидента), заработная плата, гражданство, должность, любые Акции или директорские должности, принадлежащие Компании, сведения обо всех наградах MSU или любых других правах на Акции, присужденные, аннулированные, реализованные, переданные, не инвестированные или находящиеся в обращении в пользу Участника. («Данные») исключительно с целью реализации, администрирования и управления Планом. Участник понимает, что Данные будут переданы назначенному Компанией брокеру и / или поставщику услуг плана акций, который помогает Компании (в настоящее время или в будущем) в реализации, администрировании и управлении Планом.Участник понимает, что получатели Данных могут находиться в Соединенных Штатах или где-либо еще, и что в стране получателя (например, США) могут действовать другие законы и средства защиты данных, чем в стране Участника. Участник понимает, что он или она может запросить список с именами и адресами любых потенциальных получателей Данных, связавшись со своим местным представителем отдела кадров. Участник уполномочивает Компанию, Работодателя и любых других возможных получателей, которые могут помочь Компании (в настоящее время или в будущем) в реализации, администрировании и управлении Планом, получать, владеть, использовать, сохранять и передавать Данные в электронном или другом виде. форма, с единственной целью реализации, администрирования и управления участием Участника в Плане.Участник понимает, что Данные будут храниться только до тех пор, пока это необходимо для реализации, администрирования и управления участием Участника в Плане. Участник понимает, что он или она может в любое время просматривать Данные, запрашивать дополнительную информацию о хранении и обработке Данных, требовать внесения любых необходимых поправок …

Data Protected India | Insights

Предоставлено Talwar Thakore & Associates

Последнее обновление: март 2020 г.

Общее | Законы о защите данных

Национальное законодательство
Национальный надзорный орган
Сфера применения
Персональные данные
Конфиденциальные персональные данные
Сотрудники по защите данных
Оценка влияния на подотчетность и конфиденциальность
Права субъектов данных
Безопасность
Передача персональных данных в третьи страны
Обеспечение соблюдения

ePrivacy | Маркетинг и файлы cookie

Национальное законодательство
Файлы cookie
Маркетинг по электронной почте
Маркетинг по телефону

_____________________________________________________________________

Общие | Закон о защите данных

____________________________________________________________

Национальное законодательство

Общие законы о защите данных

Индия не является участником какой-либо конвенции о защите личных данных, которая эквивалентна GDPR или Директиве о защите данных . Однако Индия приняла или является участником других международных деклараций и конвенций, таких как Всеобщая декларация прав человека и Международный пакт о гражданских и политических правах, в которых признается право на неприкосновенность частной жизни.

Индия также еще не приняла специального законодательства о защите данных. Однако законодательный орган Индии внес поправки в Закон об информационных технологиях (2000 г.) («Закон об ИТ »), включив в него разделы 43A и 72A, дающие право на компенсацию за ненадлежащее раскрытие личной информации.Центральное правительство Индии впоследствии издало Правила информационных технологий (разумные методы и процедуры безопасности и конфиденциальные личные данные или информация) 2011 года (« Rules ») в соответствии с разделом 43A Закона об ИТ. Разъяснение к вышеуказанным Правилам было выпущено 24 августа 2011 года («Разъяснение »). Правила налагают дополнительные требования к коммерческим и коммерческим организациям в Индии в отношении сбора и раскрытия конфиденциальных персональных данных или информации, которые имеют некоторое сходство с GDPR и Директивой о защите данных .

Индия ввела биометрический уникальный идентификационный номер для жителей под названием «Аадхаар». Aadhaar регулируется Aadhaar (Закон о целевом предоставлении финансовых и других субсидий) 2016 («Закон Aadhaar »), а также правилами и положениями, изданными в соответствии с ним. Организации в регулируемых секторах, таких как сектор финансовых услуг и телекоммуникаций, обязаны соблюдать обязательства конфиденциальности в соответствии с отраслевыми законами, которые требуют от них сохранять конфиденциальность личной информации клиентов и использовать ее в установленных целях или только в порядке, согласованном с клиентом.

Наконец, личные данные защищены с помощью косвенных гарантий, разработанных судами в соответствии с общим правом, принципами справедливости и законом о злоупотреблении доверием. В знаменательном решении, вынесенном в августе 2017 года ( судья К.С. Путтасвами и другой против Союза Индии) , Верховный суд Индии признал право на неприкосновенность частной жизни в качестве основного права в соответствии со статьей 21 Конституции как часть права. к «жизни» и «личной свободе». «Информационная неприкосновенность» была признана одним из аспектов права на неприкосновенность частной жизни, и суд постановил, что информация о человеке и праве на доступ к этой информации также должна быть защищена конфиденциальностью («Решение о конфиденциальности »).Суд постановил, что каждый человек должен иметь право контролировать коммерческое использование своей личности и что «право лиц использовать исключительно в коммерческих целях свою личность и личную информацию, контролировать информацию, доступную о них в Интернете, и распространять определенную личную информацию только в ограниченных целях »вытекает из этого права. Это первый случай, когда Верховный суд прямо признал право отдельных лиц на их личные данные.

Основные права подлежат принудительному исполнению только против государства и государственных органов, и Верховный суд в том же решении признал, что реализация права на неприкосновенность частной жизни в отношении частных лиц может потребовать законодательного вмешательства.

Правительство Индии учредило комитет, чтобы предложить проект закона о защите данных. Комитет предложил законопроект, и правительство Индии издало Законопроект о защите личных данных 2019 («Законопроект PDP ») на основе проекта, предложенного комитетом.Это будет первый закон Индии о защите личных данных, который отменит раздел 43A Закона об информационных технологиях. Краткие сведения о возможных требованиях законопроекта изложены ниже.

Вступление в силу

Раздел 43A и раздел 72A Закона об ИТ вступил в силу 27 октября 2009 года. Правила вступили в силу 11 апреля 2011 года. Закон Aadhaar вступил в силу 12 сентября 2016 года.

Решение о конфиденциальности было вынесено 24 августа 2017 года.

Объединенный парламентский комитет в настоящее время рассматривает законопроект о PDP, и ожидается, что пересмотренный проект законопроекта о PDP будет выпущен в течение 2020 года.Затем законопроект о PDP должен быть принят обеими палатами парламента и опубликован в официальной газете, прежде чем он станет законом. Даже после принятия закон, скорее всего, будет осуществляться поэтапно. В настоящее время нет информации о сроках реализации.

_____________________________________________________________________ Вверх

Национальный надзорный орган

Подробная информация о компетентном национальном надзорном органе

В Индии нет национального регулирующего органа по защите личных данных.

Министерство электроники и информационных технологий (« Министерство ») отвечает за исполнение Закона об ИТ и выпуск правил и других разъяснений в соответствии с Законом об ИТ. Органы, созданные в соответствии с Законом об ИТ, то есть судебный исполнитель и кибер-апелляционный суд, а затем различные Высокие суды и Верховный суд, несут ответственность за обеспечение соблюдения Закона об ИТ.

Министерство электроники и информационных технологий (правительство Индии), Департамент электроники и информационных технологий

Electronics Niketan, 6,
CGO Complex,
Lodhi Road,
Нью-Дели 110003

http: // meity. gov.in/

Законопроект о PDP предлагает создать Управление по защите данных Индии («Управление»). Управление будет нести ответственность за защиту интересов субъектов данных, предотвращение неправомерного использования личных данных и обеспечение соблюдения нового закона.

Схема и сроки уведомления или регистрации

В настоящее время не требуется регистрация или предварительное письменное уведомление какого-либо органа для обработки данных.

Законопроект о PDP предполагает, что «важные» доверенные лица данных должны будут зарегистрироваться в Управлении.Оценка того, является ли фидуциар данных «значительным», будет зависеть от нескольких факторов, включая объем или конфиденциальность обрабатываемых персональных данных и риск причинения вреда.

Исключения к уведомлению

Не применимо.

_____________________________________________________________________ Вверх

Область применения

Какова территориальная сфера применения?

Правила, изданные в соответствии с разделом 43A Закона об ИТ, применяются только к юридическим лицам или любым лицам, находящимся на территории Индии.

Положения Закона об ИТ (за исключением вопросов, регулируемых Правилами) также применимы к любому правонарушению, совершенному лицом за пределами Индии с использованием компьютера, компьютерной системы или компьютерной сети, расположенной в Индии.

Законопроект о PDP предлагает более широкий охват. Он будет применяться не только к лицам в Индии, но и к лицам за пределами Индии в отношении бизнеса, осуществляемого в Индии, предложения товаров или услуг физическим лицам в Индии или профилирования лиц в Индии.

Есть понятие контроллера и процессора?

Индийский закон не содержит концепций контроллера и процессора . Вместо этого в Правилах упоминается понятие «юридическое лицо» и «поставщик информации». Корпоративное объединение определяется как «любая компания, включающая в себя фирму, индивидуальное предприятие или другую ассоциацию лиц, занимающихся коммерческой или профессиональной деятельностью». «Поставщик информации» – это физическое лицо, которое предоставляет конфиденциальные личные данные или информацию юридическому лицу.

Законопроект о PDP предлагает концепции «доверительного управляющего» и «обработчика данных». «Доверительный управляющий» и «обработчик данных» эквивалентны концепции контроллера и процессора в соответствии с GDPR .

Подпадает ли под действие законодательства о защите данных как ручные, так и электронные записи?

Правила издаются в соответствии с Законом об ИТ, который применяется только к электронным записям. Требования Закона Aadhaar применимы как к ручным, так и к электронным записям.

Законопроект о PDP предлагает более широкий закон, применимый как к ручным, так и к электронным записям.

Существуют ли какие-либо национальные отступления?

В соответствии с Правилами любые личные данные, которые находятся в свободном доступе или доступны в открытом доступе или предоставлены в соответствии с Законом о праве на информацию 2005 года или любым другим действующим законодательством, не должны рассматриваться как «конфиденциальные личные данные или информация» (« SPDI ”). Кроме того, SPDI может быть раскрыт государственным органам, уполномоченным по закону получать информацию с целью проверки личности или для предотвращения, обнаружения, расследования без получения согласия «поставщика информации».

Основное право на неприкосновенность частной жизни, признанное в Постановлении о неприкосновенности частной жизни, может быть реализовано только против государства или государственных органов, но не против организаций в частном секторе.

Законопроект о PDP предлагает ряд исключений. Это не относится к анонимным или неличным данным. Правительство также может исключить обработку персональных данных лиц, не проживающих в Индии, обработчиками данных в Индии, если такая обработка осуществляется по контракту с компанией, зарегистрированной за пределами Индии.Кроме того, законопроект о PDP определяет ряд исключений, включая обработку персональных данных по таким причинам, как безопасность государства, правоохранительные органы, во время судебных разбирательств, для целей исследования и архивирования или когда обработка осуществляется небольшими организациями.

_____________________________________________________________________ Вверх

Персональные данные

Что такое личные данные?

Персональные данные в соответствии с индийскими законами и правилами называются « персональные данные ».В соответствии с Правилами личная информация определяется как «любая информация, относящаяся к физическому лицу, которая прямо или косвенно, в сочетании с другой информацией, доступной или которая может быть доступна юридическому лицу, может идентифицировать такое лицо».

Законопроект о PDP предлагает аналогичное определение, но расширяет его, чтобы включить любые выводы, сделанные из таких данных с целью профилирования.

Является ли информация о юридических лицах персональными данными?

№Личная информация относится только к информации о физическом лице.

Каковы правила обработки персональных данных?

Нет никаких конкретных правил, регулирующих обработку персональных данных.

Однако Правила гласят, что юридическое лицо или любое лицо, которое обрабатывает личную информацию от имени юридического лица, должно предоставить политику конфиденциальности (см. Есть ли общие обязательства подотчетности? ниже).

Законопроект о PDP предлагает, чтобы обработка персональных данных соответствовала семи принципам обработки, а именно: (i) обработка персональных данных должна быть справедливой и разумной; (ii) он должен быть для конкретной цели; (iii) должны собираться только личные данные, необходимые для этой цели; (iv) это должно быть законным; (v) соответствующее уведомление об обработке должно быть предоставлено лицу; (vi) обрабатываемые персональные данные должны быть полными, точными и не вводить в заблуждение; и (vii) личные данные могут храниться только столько времени, сколько разумно необходимо для достижения цели, для которой они обрабатываются.

Существуют ли формальности для получения согласия на обработку персональных данных?

Никаких особых формальностей для получения согласия на обработку личной информации не оговаривалось.

Законопроект о PDP предлагает ряд требований для получения согласия на обработку персональных данных. Требования становятся более строгими, если личные данные являются конфиденциальными личными данными и информацией.

Существуют ли особые правила при обработке персональных данных о детях?

Правила не содержат каких-либо конкретных правил при обработке персональных данных о детях.

Законопроект о PDP предлагает обрабатывать личные данные ребенка таким образом, чтобы права и интересы ребенка были защищены. Кроме того, такая обработка может производиться только после проверки возраста ребенка и получения согласия от родителя или опекуна. Организации, которые обрабатывают персональные данные детей или предоставляют услуги, ориентированные на детей, будут отнесены к категории доверенных лиц «опекунов» и им будет запрещено профилировать, отслеживать или обрабатывать данные, которые могут причинить значительный вред ребенку.

Есть ли особые правила при обработке персональных данных о сотрудниках?

Закон об ИТ и Правила не содержат каких-либо конкретных требований в отношении обработки персональных данных о сотрудниках.

Законопроект о PDP предполагает, что обработка личных данных сотрудников будет оправдана в ситуациях, когда было бы неуместно получать согласие от сотрудника с учетом отношений между сотрудником и работодателем.

_____________________________________________________________________ Вверх

Конфиденциальные личные данные

Что такое конфиденциальные личные данные?

Конфиденциальные личные данные существуют как понятие конфиденциальных личных данных или информации в соответствии с Правилами.Это личная информация, которая состоит из: (i) паролей; (ii) финансовую информацию, такую ​​как банковский счет, кредитная карта, дебетовая карта или другие данные платежного инструмента; (iii) физическое, физиологическое и психическое состояние здоровья; (iv) сексуальная ориентация; (v) медицинские записи и история болезни; (vi) биометрическая информация; (vii) любые детали, относящиеся к вышеуказанным пунктам, предоставленные юридическому лицу для предоставления услуг; и (viii) любую информацию, полученную в соответствии с вышеуказанными пунктами юридическим лицом для обработки, которая хранится или обрабатывается в соответствии с законным контрактом или иным образом.

Конфиденциальные личные данные или информация не включают информацию, которая находится в свободном доступе или доступна в открытом доступе или предоставляется в соответствии с Законом о праве на информацию 2005 года или любым другим применимым законодательством.

Законопроект о PDP предлагает широкое определение конфиденциальных личных данных, а также определяет финансовые данные, данные о касте, племени, религиозных и политических убеждениях или принадлежности как конфиденциальные личные данные.

Существуют ли дополнительные правила обработки конфиденциальных персональных данных?

Правила содержат особые положения, касающиеся сбора конфиденциальных личных данных или информации.Они применяются ко всем корпоративным организациям в Индии, кроме тех, которые предоставляют услуги, связанные с обработкой конфиденциальных личных данных или информации, любому лицу по контракту. Однако такие положения будут также применяться к таким освобожденным организациям, если они предоставляют такие услуги непосредственно поставщику информации в соответствии с контрактом.

Основные правила сбора: (i) необходимо получить согласие поставщика информации до сбора. Поставщику информации должна быть предоставлена ​​возможность не предоставлять запрошенные конфиденциальные личные данные или информацию и отозвать свое согласие, уведомив об этом юридическое лицо в письменной форме; (ii) конфиденциальные личные данные или информация могут быть собраны только в случае необходимости для законных целей, связанных с функцией или деятельностью юридического лица или любого лица от его имени; и (iii) юридическое лицо должно предоставить дополнительную информацию поставщику информации (см. ниже).

Корпоративное объединение должно также соблюдать другие общие требования, такие как отказ от хранения конфиденциальных личных данных или информации дольше, чем требуется и обеспечение их безопасности, или применение разумных методов и процедур безопасности, которые включают управленческий, технический, операционный и физический контроль безопасности. меры по защите конфиденциальных личных данных и информации.

Дополнительные правила применяются к раскрытию конфиденциальных личных данных и информации. Корпоративному объединению и любому лицу, действующему от его имени, не разрешается публиковать какие-либо конфиденциальные личные данные или информацию.Кроме того, для раскрытия конфиденциальных личных данных или информации любой третьей стороне требуется предварительное разрешение поставщика информации. Единственными двумя исключениями из этого требования являются: (i) когда такое раскрытие информации согласовано в контракте между юридическим лицом и поставщиком информации; или (ii) когда необходимо раскрыть информацию в соответствии с юридическим обязательством. Третья сторона, которая получает такие конфиденциальные персональные данные или информацию, не должна раскрывать их в дальнейшем и должна находиться в стране, предлагающей такие же уровни защиты данных, как и в Индии.Юридическому лицу разрешено делиться информацией с государственными органами, уполномоченными в соответствии с законом получать информацию.

Законопроект о PDP предлагает аналогичные строгие требования в отношении обработки конфиденциальных личных данных и информации, включая требование явного согласия, введение дополнительных условий для трансграничных переводов и требование хранения копии в Индии.

Существуют ли дополнительные правила обработки информации об уголовных преступлениях?

Правила такие же, как и для конфиденциальных личных данных.

Существуют ли какие-либо формальности для получения согласия на обработку конфиденциальных персональных данных?

Согласие поставщика информации должно быть получено в письменной форме (включая любые способы электронной связи) относительно цели ее использования и до дальнейшей передачи или раскрытия.

Законопроект о PDP предлагает особые требования для получения согласия на обработку конфиденциальных персональных данных. Это должно быть явное согласие, полученное после информирования лица о цели и предоставления отдельного согласия на обработку различных категорий конфиденциальных персональных данных.

_____________________________________________________________________ Вверх

Сотрудники по защите данных

Когда нужно назначить сотрудника по защите данных?

Согласно Правилам, корпоративные корпорации должны назначить сотрудника по рассмотрению жалоб, и нет общего требования о назначении сотрудника по защите данных.

Законопроект о PDP предлагает, чтобы крупный фидуциар данных должен был назначить сотрудника по защите данных.

Каковы обязанности специалиста по защите данных?

Сотрудник по рассмотрению жалоб должен рассматривать любые несоответствия или претензии поставщиков информации в отношении обработки информации в установленные сроки.Сотрудник по рассмотрению жалоб должен рассмотреть жалобу в кратчайшие сроки в течение одного месяца с даты получения такой жалобы. Корпоративное объединение должно опубликовать имя и контактные данные сотрудника по рассмотрению жалоб на своем веб-сайте

.

Законопроект о PDP предлагает, чтобы сотрудник по защите данных имел ряд обязанностей, включая предоставление информации и рекомендаций фидуциару данных, мониторинг деятельности по обработке данных, консультирование по оценке воздействия защиты данных, оказание помощи Управлению и выполнение функций контактного лица для руководители данных.

_____________________________________________________________________ Вверх

Оценка воздействия на подотчетность и конфиденциальность

Есть ли общие обязательства подотчетности?

Правила гласят, что юридическое лицо или любое лицо, которое обрабатывает личную информацию от имени юридического лица, должно предоставить политику конфиденциальности.

Эта политика конфиденциальности должна служить для защиты предоставляемой личной информации, и поставщик такой информации должен иметь возможность ознакомиться с политикой.Политика конфиденциальности должна быть доступна на веб-сайте юридического лица и должна предусматривать: (i) четкие и доступные заявления, касающиеся его практики и политик; (ii) тип собираемой личной информации или конфиденциальных личных данных или информации; (iii) цель сбора и использования такой информации; (iv) случаи, в которых такая информация может быть раскрыта в соответствии с Правилами; и (v) разумные методы и процедуры обеспечения безопасности, требуемые Правилами.

Политика конфиденциальности требуется, даже если конфиденциальные личные данные или информация не обрабатываются.

Законопроект о PDP предлагает фидуциарам данных принять ряд мер для обеспечения прозрачности и подотчетности. Эти меры включают принятие «конфиденциальности по замыслу», поддержание прозрачности в отношении общей практики обработки персональных данных, внедрение соответствующих мер безопасности и внедрение процедур и механизмов для рассмотрения жалоб субъектов данных.

Обязательна ли оценка воздействия на конфиденциальность?

Согласно Правилам, организация, занимающаяся обработкой и обработкой конфиденциальных персональных данных, должна иметь свои методы и процедуры обеспечения безопасности, сертифицированные и проверенные независимым аудитором, который утверждается центральным правительством не реже одного раза в год или при значительном обновлении. в своем компьютерном ресурсе.

Законопроект о PDP предлагает, чтобы крупный фидуциар данных проводил оценку воздействия на защиту данных при определенных обстоятельствах.

_____________________________________________________________________ Вверх

Права субъектов данных

Уведомления о конфиденциальности

Юридическое лицо, собирающее конфиденциальные личные данные или информацию, должно информировать поставщика информации о: (i) факте сбора информации; (ii) цель сделать то же самое; (iii) предполагаемые получатели; и (iv) название и адрес агентства, собирающего и хранящего информацию.Все требования, применимые к персональным данным, такие как требование политики конфиденциальности (см. Есть ли общее обязательство подотчетности? выше), применимы при обработке конфиденциальных персональных данных.

Законопроект о PDP предлагает аналогичные обязательства.

Права доступа к информации

Поставщик информации может получить доступ к предоставленной им информации по запросу.

Законопроект о PDP предлагает аналогичные обязательства.

Право на перенос данных

Однако Закон о PDP действительно предлагает право на переносимость данных.

Право на забвение

«Право на забвение» не признается как таковое в Индии, и нет никаких положений закона, которые это предусматривают.

Были судебные прецеденты, когда различные суды признавали это право, особенно в отношении сексуальных преступлений против женщин. Верховный суд Индии постановил, что анонимность потерпевших должна сохраняться, насколько это возможно, в делах, связанных с сексуальными преступлениями ( Государство Пенджаб против Гурмит Сингха ).Высокий суд Карнатаки в своем недавнем решении признал, что определенная информация может быть стерта в деликатных делах, связанных с изнасилованием или затрагивающих скромность и репутацию соответствующего лица. Однако другие высокие суды придерживаются иной точки зрения на этот счет. Например, Высокий суд Гуджарата отклонил ходатайство о запрете публичного показа приговора из открытых источников ( Дхармрадж Бханушанкар Дейв против штата Гуджарат ).

Законопроект о PDP предлагает прямое право на забвение, в соответствии с которым субъектов данных имеют право ограничивать дальнейшее раскрытие личных данных.

Возражение против прямого маркетинга и профилирования

Закон и правила об ИТ не налагают никаких условий в отношении использования конфиденциальных личных данных или информации для прямого маркетинга. Однако, если информация собирается от поставщика информации (т. Е. В ситуации, когда собираются конфиденциальные личные данные или информация), необходимо получить предварительное согласие поставщика информации, включая цель, для которой информация собирается. .

Прочие права

Поставщик информации имеет право просмотреть предоставленную информацию и отозвать ранее предоставленное согласие. Юридическое лицо не может отказать в такой просьбе. Кроме того, любые неточности и неточности информации могут быть исправлены поставщиком информации.

Законопроект о PDP предлагает аналогичные обязательства.

_____________________________________________________________________ Вверх

Безопасность

Требования безопасности для защиты личных данных

Правила предусматривают, что каждое юридическое лицо должно поддерживать разумные методы и процедуры обеспечения безопасности. Корпоративное объединение или лицо, действующее от его имени, «считается соблюдающим разумные методы и процедуры безопасности, если они внедрили такие методы и стандарты безопасности и имеют комплексную документированную программу информационной безопасности и политики информационной безопасности, которые содержат управленческие, технические, операционные и меры контроля физической безопасности, соизмеримые с информационными активами, которые защищаются с характером бизнеса ». Министерство включило в качестве одного из таких стандартов Международный стандарт IS / ISO / IEC 27001 «Информационные технологии – Методы безопасности – Система управления информационной безопасностью – Требования».Корпорации, соблюдающие другие стандарты, должны уведомить министерство о своей практике и стандартах в области безопасности и получить их одобрение для эффективного внедрения.

Корпоративное объединение должно иметь свою практику и процедуры обеспечения безопасности, сертифицированные и проверенные независимым аудитором, который утверждается центральным правительством не реже одного раза в год или при значительном обновлении его компьютерных ресурсов.

Законопроект о PDP предлагает, чтобы и фидуциар данных, и обработчик данных реализовали соответствующие меры безопасности.

Особые правила, регулирующие обработку сторонними агентами (обработчиками)

Нет никаких особых правил, регулирующих действия сторонних агентов от имени юридического лица. Они регулируются тем же режимом, что и корпоративные корпорации.

Законопроект о PDP предполагает, что доверенные лица данных должны иметь письменное соглашение со своими обработчиками данных.

Уведомление о нарушении законов

Об определенных типах инцидентов кибербезопасности необходимо в обязательном порядке сообщать индийской группе реагирования на компьютерные чрезвычайные ситуации (« CERT-In »), созданной в соответствии с разделом 70B Закона об ИТ.Эти инциденты включают (i) компрометацию критически важных систем или информации; (ii) целевое сканирование или зондирование критических сетей и систем; (iii) кражи личных данных, спуфинг или фишинговые атаки; (iv) несанкционированный доступ к ИТ-системам или данным; (v) повреждение веб-сайта или вторжение на веб-сайт; (vi) атаки с использованием вредоносного кода, включая атаки на серверы; и (vii) Атаки типа «отказ в обслуживании» или «распределенный отказ в обслуживании» (DoS или DDoS).

CERT-In также уполномочен собирать или анализировать информацию об инцидентах кибербезопасности от отдельных лиц и организаций.Информация, которая может привести к идентификации лиц или организаций, пострадавших от инцидентов кибербезопасности, не может быть раскрыта без явного письменного согласия или по постановлению суда.

Законопроект о PDP предлагает новый режим, в соответствии с которым о нарушении необходимо уведомлять Власть, которая затем оценит необходимость уведомления отдельного лица.

_____________________________________________________________________ Вверх

Передача личных данных в третьи страны

Ограничения на переводы в третьи страны

Правила предусматривают, что трансграничных потоков данных конфиденциальных личных данных или информации могут быть переданы любому другому юридическому лицу или физическому лицу в Индии или находящемуся в любой другой стране, если соблюдаются те же уровни защиты данных в Индии, при условии, что такие передача необходима для выполнения законного договора между юридическим лицом или любым лицом, действующим от его имени, и поставщиком информации, или такая передача была согласована с поставщиком информации.

Правила не ограничивают трансграничных потоков данных информации, не являющейся конфиденциальными личными данными или информацией.

Резервный банк Индии (« RBI ») посредством уведомления от 6 апреля 2018 г. обязал все банки, посредников и другие третьи стороны хранить всю информацию, относящуюся к платежным данным в Индии. В случае международных транзакций данные об иностранной части транзакции могут храниться в другом месте.

Законопроект о PDP предлагает новый режим трансграничной передачи персональных данных. Были бы отдельные требования к конфиденциальным личным данным и критически важным личным данным. Конфиденциальные персональные данные могут быть переданы за пределы Индии только с явного согласия физического лица и в соответствии со стандартными договорными положениями или внутригрупповыми схемами, утвержденными Управлением. Важные личные данные могут быть переданы только физическому или юридическому лицу, оказывающему неотложную медицинскую помощь, если такая передача необходима для незамедлительных действий. Центральное правительство определит, что считать критически важными личными данными.

Уведомление и одобрение национального регулирующего органа (включая уведомление об использовании Типовых контрактов)

Нет дополнительных требований для уведомления или получения одобрения какого-либо регулирующего органа.

Законопроект о PDP предполагает, что о любой передаче важных личных данных следует уведомлять Власть в установленный срок.

Использование обязательных корпоративных правил

Трансграничные потоки данных разрешены только в тех юрисдикциях, где корпоративные корпорации должны обеспечивать такой же уровень защиты данных, как и в Индии.Режим защиты данных в Индии носит индивидуальный характер и может не соответствовать уровню защиты, обеспечиваемому обязательными корпоративными правилами .

_____________________________________________________________________ Вверх

Правоприменение

Штрафы

Раздел 72A Закона об информационных технологиях предусматривает наложение штрафа в размере до 500 000 индийских рупий в случае раскрытия личной информации в нарушение законного контракта или без согласия.

Законопроект о PDP предлагает штрафы, связанные с мировым оборотом.Эти штрафы могут составлять от 2% до 4% от мирового оборота, в зависимости от типа нарушения.

Уголовная ответственность

Раздел 72A Закона об информационных технологиях предусматривает лишение свободы на срок до трех лет в случае раскрытия личной информации в нарушение законного контракта или без согласия.

Законопроект о PDP предлагает тюремное заключение сроком на три года за повторную идентификацию личных данных или конфиденциальных личных данных без согласия заинтересованного лица.

Компенсация

Раздел 43A Закона об информационных технологиях предусматривает, что юридические лица, владеющие, имеющие дело с любыми конфиденциальными личными данными или информацией на компьютерном ресурсе, которым он владеет, контролирует или управляет, будут нести ответственность за возмещение убытков в качестве компенсации пострадавшим лицам, если они проявят халатность в внедрение и поддержание разумных методов и процедур безопасности для защиты конфиденциальных личных данных или информации.

Законопроект о PDP предлагает, чтобы руководители данных, которым был причинен ущерб в результате любого нарушения требований Закона о PDP, могли требовать компенсации от фидуциара данных или обработчика данных.

Прочие силы

В Законе об ИТ или Правилах нет других положений о защите данных.

Практика

Суды выносили ряд решений по вопросам конфиденциальности, включая решение о конфиденциальности. Однако существенной практики судебного регулирования применения этих положений не существует.

_____________________________________________________________________ Вверх

ePrivacy | Маркетинг и файлы cookie

_____________________________________________________________

Национальное законодательство

Законы о конфиденциальности

Помимо Положений о предпочтениях клиентов в коммерческой связи, 2018 г. (« Правила о предпочтениях клиентов »), выпущенных Управлением по регулированию телефонной связи Индии (« TRAI ») поставщикам телекоммуникационных услуг для создания механизма регистрации запросов абонентов. Чтобы не получать нежелательные коммерческие звонки, в Индии нет конкретных законов или правил, касающихся использования файлов cookie или прямого маркетинга.

_____________________________________________________________________ Вверх

Печенье

Условия использования файлов cookie

В Индии нет конкретных законов или постановлений об использовании файлов cookie.

Нормативное руководство по использованию файлов cookie

Не применимо.

_____________________________________________________________________ Вверх

Маркетинг по электронной почте

Условия прямого маркетинга по электронной почте индивидуальным подписчикам

В Индии нет конкретных законов или постановлений о прямом маркетинге по электронной почте.

Условия прямого маркетинга по электронной почте корпоративным подписчикам

Не применимо.

Исключения и другие вопросы

Не применимо.

_____________________________________________________________________ Вверх

Маркетинг по телефону

Условия прямого маркетинга по телефону для индивидуальных абонентов (за исключением автоматических звонков)

Маркетинг по телефону отдельным абонентам без их согласия категорически запрещен, и поставщики телекоммуникационных услуг несут ответственность за соблюдение такого запрета.Поставщики телекоммуникационных услуг должны создать Средство регистрации предпочтений клиентов (« CPRF »), в рамках которого клиенты могут предоставить или отозвать свое согласие в отношении категории, режима (голосовые вызовы или текстовые сообщения) и временного интервала таких маркетинг.

Условия прямого маркетинга по телефону корпоративным абонентам (за исключением автоматических звонков)

Нет отдельных правил для корпоративных абонентов, которые регулируются тем же режимом, что и некорпоративные абоненты.

Исключения и другие вопросы

CPRF предоставляет клиентам возможность зарегистрироваться в «частично заблокированной категории», в соответствии с которой клиенты могут выбрать получение рекламных сообщений по следующим категориям: (i) банковское дело / страхование / финансовые продукты / кредитные карты; (ii) недвижимость; (iii) образование; (iv) здоровье; (v) потребительские товары и автомобили; (vi) связь / радиовещание / развлечения / ИТ; (vii) туризм и отдых; и (viii) еда и напитки.

_____________________________________________________________________ Вверх

.