(Окончание, начало см. http://rusrim.blogspot.com/2021/04/1_0104328716.html )
Получение явного согласия (opt-in consent) и политика защиты неприкосновенности частной жизни
Законопроект основан на концепции несомненного, явного и добровольного согласия, исходя из того, что организации, которые собирают, передают, хранят, обрабатывают, продают или делятся чувствительными персональными данными, должны информировать потребителей о своих действиях посредством политики обеспечения защиты и использования персональных данных. После уведомления, субъект должен дать недвусмысленное согласие на сбор данных.
В дополнение к вышеупомянутому требованию об использовании «простого и понятного английского языка», соответствующие политики должны ясно и чётко соответствовать руководствам Федеральной комиссии по торговле (FTC) и, где это уместно, должна использовать визуализацию для облегчения их понимания пользователем. Организации не вправе взимать с пользователей плату за доступ к таким политикам.
Политика обязана включать:
- Контактную информацию организации, собирающей и обрабатывающей данные;
- Цель обработки данных;
- Категории собираемых данных;
- Категории третьих лиц, которым будут передаваться данные;
- Каким образом субъекты могут отозвать согласие или просмотреть и получить собранные у них данные;
- Могут ли субъекты экспортировать свои данные на другие веб-платформы после доступа к ним;
- Меры, предпринятые для защиты данных от несанкционированного доступа или получения.
Здесь есть оговорка: если потребитель соглашается на продажу или раскрытие своих данных третьей стороне, то организация не несёт ответственности за несоблюдение этой третьей стороной установленных в согласии ограничений.
Мой комментарий: Это, как говорится, даже не «дыра в заборе», а полное отсутствие забора.
Согласие по умолчания с правом отзыва (opt-out consent)
В то время, как потребители должны дать явное согласие (opt-in) на любые действия, связанные с чувствительными персональными данными (которые примерно соответствуют нашей категории специальных персональных данных – Н.Х.), такого рода требования не применяются в отношении «нечувствительных» (non-sensitive) персональных данных. Тем не менее, потребители могут запретить обработку таких данных. Операторы и обработчики должны уважать запросы на запрет обработки/отзыв согласия на обработку, и передавать такие запросы всем третьим сторонам, которым они раскрыли данные. Если третья сторона не соблюдает требования, оператор не несет за это ответственности.
Взаимоотношения оператора и обработчика
Для того, чтобы можно было проводить обработку данных, между обработчиком и оператором должен быть заключен обязывающий договор, подробно регламентирующий, каким образом обработчик может обрабатывать данные.
Обработчики вправе передавать чувствительную персональную информацию субподрядчикам только в целях предоставления последними услуг. При таких обстоятельствах они вправе сделать это только после предоставления оператору возможности возразить против этого.
Аудит
Законопроект требует, чтобы все использующие чувствительные персональные данные операторы, обработчики и третьи стороны, проводили аудит с привлечением объективной, независимой и квалифицированной третьей стороны не реже одного раза в два года. Такой аудит должен показать, была ли организация признана соответствующей требованиям, - и это решение должно быть обнародовано. Аудиты обязаны охватывать / включать:
- Меры и средства контроля и обеспечения защиты персональных данных, безопасности и использования данных, внедренные и поддерживаемые организацией;
- В какой мере эти меры и средства контроля и управления соответствуют размеру и сложности операций с данными и характеру данных;
- Подтверждение того, что эти меры и средства контроля и управления эффективно защищают безопасность и конфиденциальность данных.
Аудит должен учитывать все существенные изменения в политике организации обеспечения неприкосновенности частной жизни и использования данных. Материалы аудита должен быть предоставлен в FTC немедленно, и Генеральному прокурору штата - в течение десяти дней с момента запроса.
Организации, которые используют чувствительную персональную информацию, относящуюся к 250 тысячам или менее лицам в год, освобождаются от требований аудита. Кроме того, требование об аудите не применяется в случае обработки данных, разрешенной Законом о справедливой кредитной отчетности (Fair Credit Reporting Act), или же в целях:
- Предупреждения или выявления преступной деятельности;
- Совершенствования способности оператора оказывать услуги, или для выявления ошибок в них;
- Защита интересов человека;
- Исполнения требований законодательства;
- Мониторинга или обеспечение соблюдения соглашений между операторами, обработчиками и третьими сторонами;
- Защиты собственности, услуг или информационных систем от несанкционированного доступа;
- Ввиду «существенного общественного интереса», такого, как научные, исторические исследования или исследования в сфере общественного здравоохранения;
- Для завершения запрошенной потребителем транзакции, для выполнения которой была собрана персональная информация;
- Проведения отзыва продукции или гарантийного обслуживания.
Мой комментарий: Иными словами, если обработка данных проводится в благородных целях, то проверять соблюдение элементарных мер безопасности и конфиденциальности уже не надо!
Правоприменение
Исполнение данного закона будет обеспечивать Федеральной комиссия США по торговле (FTC). В случае непреднамеренного нарушения FTC уведомит нарушителя и даст ему 30 дней на устранение нарушения.
Если FTC не предпринимает никаких мер, то генеральный прокурор штата вправе подать иск в том случае, если предполагается, что нарушение закона нанесло ущерб штату или его жителям, - направив письменное уведомление о таких действиях в FTC.
Мой комментарий: Далеко не всё в европейском законодательстве о защите персональных данных (и в скопированном с него российском законодательстве) вызывает у меня восторг, но по сравнению с американским законопроектом им можно считать шедеврами юридической мысли. Возникает и вопрос о том, зачем американцы вносят законопроект, который явно противоречит европейскому законодательству и лишь обострит противостояние Евросоюза и США в вопросах защиты персональных данных, их трансграничного хранения и обработки.
Источник: сайт ассоциации ADCG
https://adcg.org/at-last-us-proposes-federal-data-privacy-law/
Комментариев нет:
Отправить комментарий