Как обрабатывать персональные данные граждан сша

Обновлено: 19.05.2024

В то время как большая часть жителей США сосредоточена на президентских выборах, калифорнийцам предстоит принять еще одно важное решение в ноябре этого года. Голосование определит, появится ли в США новый закон о конфиденциальности в интернете. Рассказываем, что изменит новый закон, почему важны голоса в Калифорнии и как на поправки повлияют на Google и Facebook.

О каком законе речь?

Предложение 24, также известное как Закон Калифорнии о правах на неприкосновенность частной жизни и правоприменении от 2020 года (CPRA — California Public Records Act), призвано расширить важный закон Калифорнии о конфиденциальности, принятый два года назад. Есть большая вероятность, что калифорнийцы одобрят новое предложение. Поправки оформлены в виде закона, который лучше защищает их приватность, в частности конфиденциальные данные — такие как номера социального страхования, расу, религию и информацию о здоровье.

Почему решение Калифорнии коснется всех штатов?

Хотя предложенный закон технически регулирует использование и продажу данных для жителей Калифорнии, штат оказывает огромное влияние на технологическую отрасль. По факту это означает, что CPRA станет фактическим законом для всех США.

Что, в общем-то, хорошо для большинства людей, ведь речь идет о защите конфиденциальности.

Кроме того, предлагаемый закон повлияет на защиту молодых людей, вводя в обязательном порядке тройные штрафы за нарушения в отношении пользователей младше 16 лет. Он позволит людям ограничить использование данных о геолокации третьими сторонами, эффективно положив конец таким практикам, как рассылка целевой рекламы людям, которые посетили реабилитационный центр или онкологическую клинику. Судя по закону, власти профинансируют создание агентства по защите конфиденциальности потребителей.


Но не все так просто.

Для, например, СМИ любое новое регулирование данных может создать проблемы. Как мы знаем, у издателей новостей уже есть множество хорошо задокументированных проблем. Однако предлагаемые улучшения помогут все же помочь новостной индустрии и вот почему.

Борьба с дуополией Google и Facebook

От таргетированной рекламы и до персонализации данных в интернете… На данный момент, две компании доминируют в сборе данных и, следовательно, во всей цифровой рекламе. Большой вопрос о любых законах о конфиденциальности заключается в том, действительно ли они создают больше преимуществ для Google и Facebook вместо того, чтобы уравнять правила игры для более мелких конкурентов.

Например, в Европе, где в мае 2018 года был введен в действие новый закон о конфиденциальности (GDPR), крупные технологические компании смогли эффективно нейтрализовать закон, применяя полумеры и используя лазейки при задержках в исполнении.

Хорошая новость как для потребителей контента, так и для издателей новостей заключается в том, что CPRA стремится закрыть любые лазейки в предыдущем законе о конфиденциальности, принятом в США два года назад.

Для начала, закон должен более четко ограничивать сбор и использование данных третьими сторонами — компаниями, от которых вы не ждете, что у них есть доступ к вашим данным при посещении новостного сайта, — при этом позволяя издателям продолжать использовать данные, которые они генерируют на своих сайтах.

И это имеет смысл. Потребители обычно предполагают (да и надеются), что приложение или веб-сайт будет собирать данные о них лишь с целью улучшить обслуживание, распознавать их как постоянных посетителей или мастерски рекомендовать контент. Но они не ожидают, что неизвестные третьи стороны будут собирать данные о них для создания профилей и показа целевой рекламы на несвязанных сайтах или приложениях.

Этот безудержный надзор за данными, осуществляемый некоторыми крупными технологическими компаниями за пределами их собственных сервисов, ориентированных на пользователей (а именно способность Google и Facebook отслеживать вас, даже когда вы не находитесь на их территории) подорвал доверие потребителей ко всей цифровой экономике. Предоставление потребителям возможности контролировать свои собственные данные должно, по идее, помочь частично восстановить это доверие.


Сколько стоит контент на самом деле

Издатели новостей также все больше заинтересованы в продаже подписок на контент вместо того, чтобы полагаться на цифровую рекламу. CPRA может помочь в этом, позволяя издателям предлагать подписки потребителям, которые отказываются от предоставления своих данных другим сторонам.

Что еще даст новый закон? Третьи стороны и ответственность

Наконец, что, возможно, наиболее важно, CPRA закрывает лазейки, которые могут быть использованы крупными техническими платформами. Например, когда потребитель реализует свое право отказа о предоставлении персональных данных, а издатель передает свой выбор всем компаниям, с которыми он работает (третьим лицам), эти компании должны прекратить повторно использовать данные этого потребителя для любых других целей. По сути, это вынуждает эти компании вернуться к роли поставщика услуг.


Такая система предотвращает любую возможность для маневра компаниям. По опыту издателей, в Европе такие платформы, как Google и Facebook, часто используют свои несбалансированные рычаги воздействия на переговорах, чтобы вынудить издателей подписать права на данные. Именно поэтому новый раздел чрезвычайно важен для частных издателей, у которых попросту нет рычагов, чтобы заставить Google или Facebook прекратить добычу данных.

Наконец, CPRA поясняет, что издатели не несут ответственности за третьи стороны, которые нарушают предыдущий раздел, пока они не знают о нарушении. Взятые вместе, эти положения показывают на деле, как данные передаются в цифровой экономике. Они также возлагают на крупные технологические компании ответственность за адаптацию своих методов сбора данных к предпочтениям потребителей.

Несовершенны, но неизбежны. Как законы о конфиденциальности повлияют на СМИ?

Сами издатели считают, что CPRA не идеален, но сделан из лучших побуждений. И, все же, от технологических гигантов могут звучать предупреждения о том, что это навредит СМИ. Однако причина таких высказываний ясна.

Потребительские ожидания развиваются; политика и наша отрасль должны следовать. Да, могут возникнуть некоторые краткосрочные проблемы, поскольку рекламодатели привыкают работать с меньшим объемом данных и снижают цену на покупаемую рекламу. Но те, кто играет в долгую игру, будут готовы к миру, в котором больше внимания будет уделяться прямым отношениям с издателями и доверию потребителей.

Как сейчас регулируется оборот данных о пользователях в России

Пока в России есть закон, регулирующий лишь оборот персональных данных, то есть информации, которую можно соотнести с конкретным физическим лицом. По словам советника практики разрешения споров и информационных технологий Bryan Cave Leighton Paisner Russia LLP Наталии Беломестновой, одним из основных ограничителей, сдерживающих свободный оборот персональных данных в действующем законодательстве, является требование согласия субъекта на обработку такой информации: оно должно быть конкретным, информированным и сознательным. Возможность передачи данных третьему лицу и цели такой передачи также должны быть донесены до пользователя.

Обезличенные данные также могут считаться персональными в том случае, если, сопоставив их, можно определить конкретного человека, отметила Беломестнова. Кроме того, Роскомнадзор заявлял, что к персональным нужно отнести и так называемые большие пользовательские данные — информацию о пользователях, которая не позволяет идентифицировать конкретного человека, но позволяет проанализировать его поведение. Сейчас участники рынка и представители власти обсуждают, нужно ли регулировать большие пользовательские данные так же, как большие данные (big data, большие объемы обезличенной информации).

Нашумевшая идея о продаже данных

Компании, которые собирают данные, не продают их поштучно. Однако в пересчете на одного человека данные о возрасте, поле, семье, покупательских привычках и даже о состоянии здоровья человека стоят дешево. Так, Financial Times, проведя обзор рынка данных, указывала, что общие данные о тысяче пользователей стоят около $0,5, а полная информация о человеке, собранная оператором по обработке персональных данных, может продаваться менее чем за $1.

Так что большой вопрос, чем и как торговать. И какой будет мотивация владельцев персональных данных? С другой стороны, если даже будет кластер владельцев персональных данных, которые хотят торговать своими данными. То это сразу уже получается довольно специфическая выборка целевой аудитории. Ценность которой тоже под большим вопросом. Впрочем, с 2018 года вопрос о получении прибыли с персональных данных больше не поднимался.

Состав списков может вызвать удивление, но, как ни странно, не все плохо только в нашей стране.

Возьмем для примера США и рассмотрим, как относятся к защите персональных данных здесь, где разработано большинство технологий, имеющих отношение к информационной безопасности.

Как ни странно, в отличие от большинства ведущих стран мира, в Соединенных Штатах Америки до сих пор отсутствует общефедеральное законодательство, касающееся защиты персональных данных. Имеющиеся акты (а их всего два - Privacy Act of 1974 и Privacy Protection Act of 1980) являются обязательными только для государственных организаций — частные компании могут воспользоваться этими рекомендациями, а могут и не воспользоваться. В случае нарушения прав субъектов персональных данных применяется практика прецедентного права.

Это достаточно хороший подход, которого так недостает нашим законодательным актам, из-за чего последние регулярно вызывают множество вопросов в области их правоприменения. Подход SP 800-122 коренным образом отличается от документов Правительства России (ПП 1119) и приказов ФСТЭК, которые фактически являются перечислением возможных средств и методов защиты с одним единственным требованием – использовать сертифицированные средства защиты. В США идут иным путем.

В американском документе первым требованием к защите данных является постоянное обучение сотрудников нормам безопасной работы с данными, тогда как у нас, как следует из документов правительства, в первую очередь следует обзавестись замком на двери в серверную.

А ведь совсем не секрет, что не исправность замков, а безразличие сотрудников к вопросам безопасности, непонимание ими важности соблюдения установленных правил и является основной причиной утечек информации. Сотрудники как правило не понимают ценности той информации, к которой они имеют доступ, не говоря уж о массовом безосновательном доверии их к своим контактам.

Обученные сотрудники должны знать:

как распознать персональные данные;
каковы требования законодательства;
какие существуют ограничения на сбор, хранение и использование персональных данных;
какова их ответственность и каковы их обязанности;
как можно безопасно обрабатывать ПДн;
как поступать в случае обнаружения нарушений, связанных с обработкой и защитой персональных данных;

А у нас пока сотрудники не всегда могут даже распознать персональные данные. Про знание требований законодательства вообще молчу.

Вторым требованием рекомендаций NIST является необходимость разработки политики в области обработки персональных данных (а не просто набора правил) создания процедур, описывающих

  • порядок доступа к персональным данным;
  • правила хранения персональных данных;
  • порядок реагирования на инциденты и устранения их последствий;
  • ограничения на сбор, раскрытие, передачу и использование персональных данных;

И все эти процедуры должны поддерживаться и развиваться!

Еще одним серьезным отличием американской инструкции являются рекомендации по минимизации используемых данных и их обезличиванию (то есть обработке и хранению в форме, не позволяющей идентифицировать субъекта). У нас таких просто нет, тогда как именно эти рекомендации позволяют вообще отказаться от многих средств зашиты и упростить множество процедур. Казалось бы простая мысль: если нельзя вычленить информацию о человеке, то и защищать ее куда проще. Но многие ли наши компании ее понимают?

И только после описания необходимого списка процедур и уровня знаний у американцев идут меры по защите:

  • Аудит событий
  • Авторизация и идентификация пользователей
  • Маркировка, хранение и перемещение носителей информации
  • Защита при передаче информации (в том числе шифрование)
  • Мониторинг информационной системы

Совершенно иной подход американского законотворчества можно только приветствовать – он идет от процедур к мерам по защите. Меры по защите не возводятся в самоценный абсолют. Совершенно логично – минимизируем защищаемые данные – определяем процедуры их обработки - и только потом распределяем права доступа и контролируем ход процедур. Только в этом случае меря по защите становятся эффективны. В приказах ФСТЭК присутствуют требования по наличию технических мер защиты – но любые меры защиты будут обойдены теми, кто не понимает, зачем их соблюдать.

Есть конечно в американском подходе и существенная ложка дегтя - требование по описанию процедур, их поддержанию, обучению пользователей нереализуемы для большинства компаний мелкого и среднего бизнеса – там просто нет ни специалистов соответствующего профиля, ни денег на их содержание.

Конечно, система защиты персональных данных в США не является безупречной. Атака на Всемирный торговый центр существенно изменила отношение к персональным данным в этой стране, законы которй теперь ставят своей целью не защиту неприкосновенности персональных данных, а максимальную открытость баз данных для скорейшего получения доступа к ним спецслужб. Кроме того, во многих штатах допускается мониторинг поведения сотрудников (естественно, только с их согласия) не только на работе, но и в нерабочее время. Этим, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных.

Но об этом нужно задуматься еще и нашим гражданам, чиновникам и компаниям, активно использующим Twitter, создающим группы в Facebook, пользующимся почтой Google.Mail и хранящим данные в датацентрах за океаном.

Уже скоро, 28 января, во всем мире (а значит, и в нашей стране) будет отмечаться Международный день защиты персональных данных. Хороший повод вспомнить, что уровень защиты НАШИХ персональные данных от НАС.

Акт Калифорнии о защите неприкосновенности частной жизни потребителей 2018 года (California Consumer Privacy Act – “CCPA”) применяется с 1 января 2020 года и интересен тем, что он является одним из наиболее современных законов о персональных данных и был принят в штате США, который принадлежит к мировым лидерам в развитии новых технологий.

Российское законодательство о персональных данных и практика его применения не лишены недостатков. Сравнивая их с зарубежным регулированием, можно лучше понять эти недостатки и найти пути их устранения.

CCPA также содержит определение персональных данных. Согласно статье 1798.140(o)(1) CCPA персональная информация – это информация, которая идентифицирует конкретного потребителя или конкретное домохозяйство, относится к ним, описывает их, способна быть ассоциированной с ними или может разумным образом быть связана с ними прямо или косвенно.

Как видно, это определение, подобно российскому определению персональных данных, является широким. При этом оно имеет две особенности.

В свою очередь, к резидентам Калифорнии относятся все физические лица, которые находятся в штате с любой целью, кроме цели временного пребывания или проезда, а также все физические лица, которые постоянно проживают в штате, но находятся вне штата с целью временного пребывания или проезда (статья 17014 Административного кодекса Калифорнии).

Во-первых, CCPA не применяется к информации о физических лицах, которые находятся в Калифорнии с целью временного пребывания или проезда. При этом CCPA может применяться к информации о постоянных жителях Калифорнии, которые временно или проездом находятся за пределами Калифорнии, но не к информации о других лицах, находящихся вне Калифорнии. Это существенно отличает определение персональной информации в CCPA от определения персональных данных в российском законе, который относит к персональным данным любую информацию о физических лицах вне зависимости от места их нахождения и цели нахождения в этом месте.

Во-вторых, приведенные в CCPA в качестве примеров уникальные идентификаторы, включая телефонные номера потребителей, следует считать персональной информацией. Российский закон, за редкими исключениями, не содержит примеров персональных данных.

Помимо отмеченных особенностей, определение персональной информации в CCPA в целом соответствует определению персональных данных в российском законе. Подобно тому, как российский закон разделяет персональные данные на (1) информацию, относящуюся к определенному физическому лицу, и (2) информацию, относящуюся к определяемому физическому лицу, CCPA разделяет персональную информацию на (1) информацию, которая идентифицирует конкретного потребителя или конкретное домохозяйство, и (2) информацию, которая относится к ним, описывает их, способна быть ассоциированной с ними или может разумным образом быть связана с ними прямо или косвенно.

CCPA содержит неисчерпывающий перечень данных, являющихся персональной информацией (статья 1798.140(o)(1)). К ним относятся:

1. Такие идентификаторы, как настоящее имя, вымышленное имя, почтовый адрес, уникальный личный идентификатор, онлайн-идентификатор, IP-адрес, адрес электронной почты, название аккаунта, страховой номер, номер водительских прав, номер паспорта, и другие подобные идентификаторы.

2. Имя конкретного физического лица, его подпись, страховой номер, физические характеристики и описание, адрес, телефонный номер, номер паспорта, номер водительских прав или номер идентификационной карточки штата, номер страхового полиса, сведения об образовании, сведения о работе, опыт работы, номер банковского счета, номер кредитной карты, номер дебетовой карты и любая другая финансовая информация, медицинская информация, информация о страховании здоровья.

3. Характеристики защищенных групп населения согласно законам Калифорнии и федеральным законам. К таким характеристикам, например, относятся раса, цвет кожи, религиозные убеждения, национальность, пол, возраст, физические и психические нарушения, сведения о прохождении воинской службы, генетическая информация, сведения о гражданстве.

4. Коммерческая информация, включая записи о частной собственности, приобретенных, полученных и рассматриваемых продуктах и услугах, а также другие сведения, относящиеся к истории и прогнозам покупок и потребления.

5. Биометрическая информация.

6. Информация об активности в интернете и других электронных сетях, включая, в частности, историю посещения сайтов, историю поиска, историю взаимодействия с сайтом, приложением и рекламным объявлением.

7. Геолокационные данные.

8. Аудио-, электронная, визуальная, температурная, запаховая и другая информация о потребителе.

9. Профессиональная информация и информация, связанная с работой.

10. Сведения об образовании, за исключением информации, которая является общедоступной в соответствии со специальным законом.

11. Выводы, сделанные на основе приведенной выше информации для создания профайла потребителя, отражающего предпочтения потребителя, его характеристики, психологические черты, предрасположенность, поведение, подходы, уровень интеллекта, способности и склонности.

CCPA отдельно оговаривает, что к персональной информации не относится общедоступная информация, под которой по общему правилу понимается информация, которая законно предоставляется из записей федерального правительства, правительства штата, местных органов власти (статья 1798.140(o)(2)).

На мой взгляд, российский закон о персональных данных также следует дополнить открытым перечнем информации, которая является персональными данными. Это позволит повысить определенность правового регулирования отношений по обработке персональных данных. В отсутствие такого перечня операторы, обработчики и субъекты персональных данных, суды и Роскомнадзор часто по-разному квалифицируют одни и те же данные. Конечно, это создает сложности для всех указанных лиц, мешает предпринимательской деятельности и эффективной защите прав и законных интересов субъектов персональных данных. Перечень персональной информации, приведенный в CCPA, может быть использован в качестве основы для создания российского открытого перечня персональных данных. По моему мнению, все примеры персональной информации, указанные в CCPA, являются также персональными данными согласно российскому закону и могут быть включены в соответствующий перечень.

В настоящем блоге отражена исключительно личная позиция автора как частного лица.

1. ВВЕДЕНИЕ

Защита информации в современном мире занимает одну из главенствующих ролей: разглашение государственных се­кретов может нести угрозу Национальной безопасности госу­дарства; разглашение коммерческой тайны (КТ) - привести к банкротству организации; разглашение персональных данных (ПДн) - к нарушению интересов личности в информационной сфере.

Основополагающим направлением обеспечения инфор­мационной безопасности (ИБ) является правовая защита информации. Изучение правовых основ информационной безопасности ведущих зарубежных стран позволяет проана­лизировать текущее состояние защищённости информации в этих странах и в будущем сравнить его с уровнем защищен­ности, обеспечиваемом отечественным законодательством, с целью возможного совершенствования последнего.

Рассмотрим защиту информации в Соединенных Штатах Америки. В настоящее время в законодательстве данного го­сударства существует около 500 нормативно-правовых актов, регламентирующих вопросы информационной безопасности, среди них можно выделить:

Преследование ведется только за разглашение опреде­ленных типов секретной информации и то лишь при опре­делённых обстоятельствах, что довольно часто приводит к необходимости проверки судом корректности отнесения со­держимого каждого документа к тому или иному типу секрет­ной информации.

В США выделяется 3 уровня секретности ГТ:

Среди основных законов США касательно защиты ГТ можно выделить:

В США выделяют и другие категории информации, до­ступ к которым ограничивается, среди них:

Таким образом, защита ГТ в США осуществляется не самым надежным образом, отсутствие перечня конкретной информации, относимой к ГТ, создает трудности и для опре­деления факта нарушения законодательства для лиц, разгла­сивших ГТ.

  1. АНАЛИЗ ПРАВОВОЙ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ В США

Таким образом, относимая к КТ информация не должна быть представлена в общедоступных источниках, быть очевид­ной для специалистов, поскольку законодательство США не обеспечивает защиту КТ, в случае ее хорошей известности в соответствующих отраслях науки и промышленности. Исклю­чением является уникальное экономически ценное сочетание общеизвестных сведений.

Раскрытие КТ контрагенту в рамках лицензионного дого­вора на условиях конфиденциальности, либо государственным органам не является основанием прекращения отнесения пре­доставленной информацией к КТ. Коммерческим секретом не могут являться запатентованные технологии и устройства, од­нако дополнения, которые не следуют с очевидностью из опу­бликованных сведений, могут быть отнесены к КТ. Нарушение КТ лицом, осведомленным о том, что такое нарушение нано­сит ущерб обладателю КТ, влечет уголовную ответственность.

Защита КТ в США осуществляется по нижеприведенно­му алгоритму:

Таким образом, законодательство США обеспечивает за­щиту КТ на довольно высоком уровне, позволяя ее владель­цам защищать конфиденциальность информации, имеющей экономическую ценность в силу своей неизвестности третьим лицам, умышленное нарушение которой влечет уголовную от­ветственность.

  1. АНАЛИЗ ПРАВОВОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В США

Также вышеуказанным законом установлены правила раскрытия и использования личной информации, предусмо­трены средства правовой защиты, Федеральные служащие, не выполняющие требования закона, могут быть привлечены к уголовной ответственности в виде лишения свободы на срок до 1 года и штрафа на сумму на 1 тыс. долларов.

В числе нормативно-правовых актов в США, регулирую­щих защиту ПДн также можно выделить:

Последний устанавливает, что не должны существовать системы, тайно накапливающие ПДн. А также, что каждый человек должен иметь возможность контроля информации, хранимой в системе, возможность контроля ее использования и предотвращения использования ПДн в целях, отличных от начальных целей сбора, а также корректировать информацию о себе; каждая организация должна использовать ПДн только в целях, в которых они были собраны.

Таким образом, защита ПДн в США находится на высо­ком уровне, законодательство позволяет субъектам ознакам- ливаться и редактировать информацию о себе, ограничивает организации в использовании ПДн только в соответствии с из­начально определёнными целями, не допускает ведение тай­ных баз данных с ПДн.

Таким образом, были проанализированы правовые осно­вы защиты информации в Соединённых Штатах Америки, а именно правовая защита государственных секретов, коммер­ческой тайны, персональных данных в США.

В целом, защита коммерческих секретов и персональных данных на наш взгляд логична, справедлива и находится на должном уровне, однако защита государственной тайны, бази­рующаяся на распределенных по различным нормативно-пра­вовым актам положениях, даже в комплексе не обладающих свойством полноты, при отсутствии единого закона, конкрет­ного перечня информации, относимой к государственной тай­не, создает огромную брешь в правовой защите последней. Ре­комендуется разработка единого нормативно-правового акта, обеспечивающего в полной мере защиту государственной тай­ны, разработка перечня информации относимой к государ­ственной тайне.

ШАМСУТДИНОВ Ринат Рустемович
магистрант 2-го года обучения Уфимского государственного авиационного технического университета


theRunet решил сравнить законодательства по защите персональных данных в Европе, США и России. Почему европейские и российские законы довольно строгие, а вот в США с вашими данными будут обращаться более вольно.

Сокрытие нежелательной информации о себе

На виртуальное досье может наложить отпечаток не только высказывания, или фотографии, но даже и принадлежность к каким-нибудь сообществам, группам или форумам — банки или бренды могут найти её перспективной, спецслужбы — подозрительной. Сегодня десяток стартапов-единорогов во главе с Palantir обрабатывают петабайты данных и обещают заказчикам вычислить нужного подозреваемого среди миллиона потенциальных кандидатов. Как обычный пользователь может этому противостоять?

В США нет закона, который бы ограничивал поиск и обработку информации из открытых источников. На данный момент первая поправка к Конституции, которая разрешает высказывать собственное мнение и распространять любую информацию в любых источниках, продолжает действовать.

Кража банковских данных

Что происходит в ситуации, когда защиту вашего банка взламывают и ваши банковские данные используются в криминальных целях?

Любая европейская компания в течение трёх дней должна уведомить национального регулятора о нарушении защиты персональных банковских данных, иначе будет оштрафована за несоблюдение правил безопасного хранения конфиденциальной информации.

В США всё зависит от того, что прописано в федеральном законе относительно отрасли компании. Например, финансовые институты обязаны как можно скорее уведомлять клиентов о взломе их персональных данных, однако компании из других сфер имеют право скрывать информацию о взломе вплоть до официального расследования.

В случае получения компенсации все зависит от конкретного случая. Если взлом произошел по вине банка, то можно предположить, что банк будет возмещать убытки клиенту. Потому что банк несовершенством своих систем допустил похищение денег клиента. Если же доступ в интернет-банк злоумышленники получили по вине самого клиента, то банк не будет обязан возмещать потерю.

Какие права имеют компании на вашу поисковую историю

Любой европейской пользователь может попросить (за скромное вознаграждение) прислать информацию о себе, которая хранится в базе данных компании. Правда, это не всегда проходит гладко — многие организации стараются ограничить доступ пользователей к своим данным и могут затягивать процесс на несколько месяцев, а то и вовсе отклонить просьбу.

В США нет федерального закона, по которому пользователи могут запросить информацию о хранящихся в компании персональных данных. Фактическая ситуация меняется от отрасли к отрасли — пациенты могут запросить копии медицинских данных о себе у поставщиков медицинских услуг. Некоторые IT-компании, например, Twitter, также разрешают пользователям запрашивать информацию о персональных данных.

  • подтверждение факта обработки данных
  • правовые обоснования для обработки данных
  • цели, в которых данные обрабатываются
  • способ обработки данных (автоматизированно неавтоматизрованно)
  • полные сведения об операторе данных и о третьих лицах, которые имеют доступ к ним
  • список персональных данных, которыми оперирует
  • источник получения
  • срок обработки данных, срок хранения
  • осуществляется ли трансграничная передача данных и иные сведения, предусмотренные законодательством

Компания может отказать в том случае, когда необходимость хранения данных обеспечена другим законом. Например, если сотрудник уволился и требует, чтобы компания удалила все данные о нём, то компания может отказать на основании того, что по этим данным будет производиться отчетность по МСФО. Компания также может не сразу удалить данные, а заблокировать их обработку на срок до полугода и затем удалить.

Персональные данные детей

Вопрос о персональных данных детей обсуждается с самого начала века. В конце прошлого века использование Интернета в Северной Европе перевалило за 50%, в Западной — превысило 20%, так что у наиболее активной части общества, включая и профессионалов СМИ, сложилось ощущение, что все уже в Интернете.

На данный момент в европейском праве не зафиксировано специальных положений, которые регулируют обработку и хранение данных детей. В 2018 году будет принят ряд мер, которые обяжут такие агрегаторы данных, как Facebook и Snapchat, запрашивать разрешение на обработку данных ребенка до 16 лет (в некоторых странах — до 13 лет).В США существует закон о защите конфиденциальности детей в Интернете (сокращенно — COPPA), который обязывает детские сайты и приложения при регистрации запрашивать разрешение у родителей в возрасте до 13 лет.

Почему различаются законы о персональных данных

Facebook, Instagramm и другие проекты-агрегаторы больших данных, возникают в очень узком кругу стран, но нацелены на глобальную аудиторию. По этой причине законодательства различных стран в отношении персональных данных отличаются, и будут отличаться.

Читайте также: