В США, наконец, появился федеральный законопроект по защите персональных данных, часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2021/04/1_0104328716.html )

Получение явного согласия (opt-in consent) и политика защиты неприкосновенности частной жизни

Законопроект основан на концепции несомненного, явного и добровольного согласия, исходя из того, что организации, которые собирают, передают, хранят, обрабатывают, продают или делятся чувствительными персональными данными, должны информировать потребителей о своих действиях посредством политики обеспечения защиты и использования персональных данных. После уведомления, субъект должен дать недвусмысленное согласие на сбор данных.

В дополнение к вышеупомянутому требованию об использовании «простого и понятного английского языка», соответствующие политики должны ясно и чётко соответствовать руководствам Федеральной комиссии по торговле (FTC) и, где это уместно, должна использовать визуализацию для облегчения их понимания пользователем. Организации не вправе взимать с пользователей плату за доступ к таким политикам.

Политика обязана включать:

• Контактную информацию организации, собирающей и обрабатывающей данные;
  
  
• Цель обработки данных;
  
  
• Категории собираемых данных;
  
  
• Категории третьих лиц, которым будут передаваться данные;
  
  
• Каким образом субъекты могут отозвать согласие или просмотреть и получить собранные у них данные;
  
  
• Могут ли субъекты экспортировать свои данные на другие веб-платформы после доступа к ним;
  
  
• Меры, предпринятые для защиты данных от несанкционированного доступа или получения.

Здесь есть оговорка: если потребитель соглашается на продажу или раскрытие своих данных третьей стороне, то организация не несёт ответственности за несоблюдение этой третьей стороной установленных в согласии ограничений.

Мой комментарий: Это, как говорится, даже не «дыра в заборе», а полное отсутствие забора.

Согласие по умолчания с правом отзыва (opt-out consent)

В то время, как потребители должны дать явное согласие (opt-in) на любые действия, связанные с чувствительными персональными данными (которые примерно соответствуют нашей категории специальных персональных данных – Н.Х.), такого рода требования не применяются в отношении «нечувствительных» (non-sensitive) персональных данных. Тем не менее, потребители могут запретить обработку таких данных. Операторы и обработчики должны уважать запросы на запрет обработки/отзыв согласия на обработку, и передавать такие запросы всем третьим сторонам, которым они раскрыли данные. Если третья сторона не соблюдает требования, оператор не несет за это ответственности.

Взаимоотношения оператора и обработчика

Для того, чтобы можно было проводить обработку данных, между обработчиком и оператором должен быть заключен обязывающий договор, подробно регламентирующий, каким образом обработчик может обрабатывать данные.

Обработчики вправе передавать чувствительную персональную информацию субподрядчикам только в целях предоставления последними услуг. При таких обстоятельствах они вправе сделать это только после предоставления оператору возможности возразить против этого.

Аудит

Законопроект требует, чтобы все использующие чувствительные персональные данные операторы, обработчики и третьи стороны, проводили аудит с привлечением объективной, независимой и квалифицированной третьей стороны не реже одного раза в два года. Такой аудит должен показать, была ли организация признана соответствующей требованиям, - и это решение должно быть обнародовано. Аудиты обязаны охватывать / включать:

• Меры и средства контроля и обеспечения защиты персональных данных, безопасности и использования данных, внедренные и поддерживаемые организацией;
  
  
• В какой мере эти меры и средства контроля и управления соответствуют размеру и сложности операций с данными и характеру данных;
  
  
• Подтверждение того, что эти меры и средства контроля и управления эффективно защищают безопасность и конфиденциальность данных.

Аудит должен учитывать все существенные изменения в политике организации обеспечения неприкосновенности частной жизни и использования данных. Материалы аудита должен быть предоставлен в FTC немедленно, и Генеральному прокурору штата - в течение десяти дней с момента запроса.

Организации, которые используют чувствительную персональную информацию, относящуюся к 250 тысячам или менее лицам в год, освобождаются от требований аудита. Кроме того, требование об аудите не применяется в случае обработки данных, разрешенной Законом о справедливой кредитной отчетности (Fair Credit Reporting Act), или же в целях:

• Предупреждения или выявления преступной деятельности;
  
  
• Совершенствования способности оператора оказывать услуги, или для выявления ошибок в них;
  
  
• Защита интересов человека;
  
  
• Исполнения требований законодательства;
  
  
• Мониторинга или обеспечение соблюдения соглашений между операторами, обработчиками и третьими сторонами;
  
  
• Защиты собственности, услуг или информационных систем от несанкционированного доступа;
  
  
• Ввиду «существенного общественного интереса», такого, как научные, исторические исследования или исследования в сфере общественного здравоохранения;
  
  
• Для завершения запрошенной потребителем транзакции, для выполнения которой была собрана персональная информация;
  
  
• Проведения отзыва продукции или гарантийного обслуживания.

Мой комментарий: Иными словами, если обработка данных проводится в благородных целях, то проверять соблюдение элементарных мер безопасности и конфиденциальности уже не надо!

Правоприменение

Исполнение данного закона будет обеспечивать Федеральной комиссия США по торговле (FTC). В случае непреднамеренного нарушения FTC уведомит нарушителя и даст ему 30 дней на устранение нарушения.

Если FTC не предпринимает никаких мер, то генеральный прокурор штата вправе подать иск в том случае, если предполагается, что нарушение закона нанесло ущерб штату или его жителям, - направив письменное уведомление о таких действиях в FTC.

Мой комментарий: Далеко не всё в европейском законодательстве о защите персональных данных (и в скопированном с него российском законодательстве) вызывает у меня восторг, но по сравнению с американским законопроектом им можно считать шедеврами юридической мысли. Возникает и вопрос о том, зачем американцы вносят законопроект, который явно противоречит европейскому законодательству и лишь обострит противостояние Евросоюза и США в вопросах защиты персональных данных, их трансграничного хранения и обработки.

Источник: сайт ассоциации ADCG
https://adcg.org/at-last-us-proposes-federal-data-privacy-law/