[Хранение данных, Законодательство в IT] «CPPA от GDPR не далеко падает»: в Канаде пытаются ужесточить требования по защите ПД
Автор
Сообщение
news_bot ®
Стаж: 6 лет 7 месяцев
Сообщений: 27286
Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) вступил в силу почти три года назад, но за столь незначительный период — по меркам развития законодательных инициатив — он стал настоящим флагманом, примером и во многом поводом для пересмотра локальных актов по работе с персональными данными в целом ряде государств.Обсуждаем, как развивается ситуация в Канаде: что предлагают регуляторы и какие риски видят в потенциальных изменениях нормативной базы технологические специалисты и компании.
Unsplash / Oliver HihnЧто случилосьСтепень влияния GDPR сложно преувеличить. Он потянул за собой цепочку похожих мер в США, Бразилии и даже Кении. На третий год победоносного шествия закона по планете к делу подключились и канадские регуляторы. Они решили обзавестись своей «локализацией» закона — пересмотреть двадцатилетний PIPEDA (Personal Information Protection and Electronic Documents Act) и разработать новый документ под названием Consumer Privacy Protection Act (CPPA).Согласно официальным заявлениям, CPPA призван привести условия сбора, обработки, хранения и использования персональных данных в соответствие общему уровню технологического развития и контексту взаимодействия граждан с местными организациями. В частности, правительство Канады делает акцент на том, как последним следует разъяснять причины сбора данных и степень их «мобильности» — например, предупреждать о трансграничной передаче и предоставлять возможность безопасного трансфера из одной организации в другую по запросу.
Главное, что выделяет «GDPR по-канадски», это — новые санкции для нарушителей регламента. Им придется выложить 3% годового дохода компании (с учетом заработка филиалов по всему миру) или 10 миллионов, по всей видимости, канадских долларов. Но в случае крупной утечки, умышленного слива или нарушения правил деиндентификации данных, предусмотрен штраф до 5% / 25 миллионов соответственно.
Примечательные нюансыВерхняя планка в пять процентов выбрана отнюдь не случайно — так канадские власти демонстрируют решительные намерения превзойти GDPR по всем параметрам. Размером санкций они не ограничиваются. Руководствуясь CPPA, организации будут обязаны по запросу предоставлять разъяснения относительно того, как работает их алгоритм или рекомендательная система, принимающая решения на основе персональных данных гражданина страны. Эксперты считают, что в этом плане (как и по штрафам) Канада может обойти европейских регуляторов.Что касается деиндентификации — подразумевается ее полный запрет. За установление личности по предоставленным персональным данным предусмотрены санкции. Единственное исключение — тестирование в целях поддержания должного уровня безопасности (вероятно, некой системы, предупреждающей подобные попытки). Однако пока сложно сказать, как будут выполнять это требование условные соцсети, если человек решит указать действительные ФИО и возраст. Скорее всего, требование применят против злостных нарушителей — например, организаций, занимающихся восстановлением данных из множества серых баз для последующего спама аудитории с предложениями воспользоваться какой-либо услугой.
Unsplash / Liam Seskis
Что интересно, в CPPA учли и ситуации, когда не нужно получать согласие для сбора персональных данных. Допустим, сюда относят поддержание сетевой безопасности, плюс — все, что не подпадает под коммерческую деятельность и другие попытки оказать какое-либо влияние на принятие человеком тех или иных решений (например, о покупке).
Еще новый регламент разрешает организациям вводить собственные меры защиты персональных данных, которые могут превосходить по уровню требований то, что прописано в самом CPPA.Чего стоит ожидатьКанадский вариант GDPR будут применять ко всем структурам, которые хоть как-то соприкасаются с данными граждан. Если крупные компании могут выделить двух-трех штатных специалистов на подготовку, поддержание в актуальном состоянии и проверку корпоративных политик по работе и обеспечению безопасности ПД, то для малого бизнеса этот процесс, по всей видимости, окажется затруднительным, учитывая, что CPPA требует еще и обучения сотрудников.С другой стороны, регламент имеет вид рамочного документа. Большая часть формулировок — слишком общие, поэтому стоит ждать уточнений в формате дополнительных актов, поясняющих и регулирующих отдельные моменты из CPPA. Как показывает практика, в Канаде этот процесс может занять несколько лет, поэтому пока предприниматели могут выдохнуть, а правительство — подумать, как защитить интересы граждан без ущерба для бюджета небольших компаний.
Unsplash / evВообще говоря, локальные варианты GDPR были только началом. Сейчас многие страны начинают кампании с предложениями точечного регулирования сферы больших данных.Так, в Великобритании набирает обороты так называемая «National Data Strategy» — стратегия, целью которой является развертывание «экономики данных». Правительство хочет понимать, где и как используют те или иные данные граждан, и пытается предложить универсальный механизм или даже стандарт для их анонимного учета, классификации и обработки на стороне компаний.Скорее всего, разработка документа затянется на долгие годы, поэтому у других стран еще будет много возможностей, чтобы запустить собственные аналоги и такой инициативы (помимо GDPR).Что еще почитать у нас в блоге:
- В Китае ввели блокировку ESNI-соединений
- Проект «Доступный интернет»: промежуточные итоги
- Как SD-WAN и VNF помогут снизить расходы на корпоративную сеть
- «Одной канарейки мало»: у VPN-сервисов все чаще запрашивают данные
- Как развивается ситуация с возможным ограничением на end-to-end шифрование
===========
Источник:
habr.com
===========
Похожие новости:
- [Законодательство в IT, Производство и разработка электроники, Смартфоны, IT-компании] Apple приостановила сотрудничество с Wistron из-за бунта рабочих на индийской фабрике по сборке iPhone
- [Информационная безопасность, Браузеры, Законодательство в IT, IT-компании] Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана
- [Работа с видео, Законодательство в IT] Частная компания Synesis протестует против санкций Евросоюза
- [Законодательство в IT, Гаджеты, IT-компании] Евросоюз разрешил Google купить Fitbit, но запретил использовать данные с фитнес-трекеров для рекламы
- [Поисковые технологии, Контекстная реклама, Законодательство в IT, Поисковая оптимизация, IT-компании] В США 38 штатов подали новый антимонопольный иск против Google
- [Информационная безопасность, Мессенджеры, Законодательство в IT, Социальные сети и сообщества] Темно-серая зона экосистемы Telegram
- [Законодательство в IT] Госдума одобрила штрафы за пропаганду легалайза
- [Информационная безопасность, Законодательство в IT, IT-компании] Twitter оштрафовали на 450 тысяч евро за нарушение GDPR спустя два года после утечки
- [IT-инфраструктура, Хранение данных, Хранилища данных, Data Engineering] Мультиоблачная стратегия: управление сложной структурой в большом масштабе
- [Мессенджеры, Законодательство в IT, Копирайт, Социальные сети и сообщества] ЕС добавил «ВК» и Telegram в «список отслеживания пиратства»
Теги для поиска: #_hranenie_dannyh (Хранение данных), #_zakonodatelstvo_v_it (Законодательство в IT), #_vas_experts, #_personalnye_dannye (персональные данные), #_gdpr, #_kanada (канада), #_hranenie_dannyh_v_oblake (хранение данных в облаке), #_lichnye_dannye (личные данные), #_blog_kompanii_vas_experts (
Блог компании VAS Experts
), #_hranenie_dannyh (
Хранение данных
), #_zakonodatelstvo_v_it (
Законодательство в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Сен 03:11
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 7 месяцев |
|
|
Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) вступил в силу почти три года назад, но за столь незначительный период — по меркам развития законодательных инициатив — он стал настоящим флагманом, примером и во многом поводом для пересмотра локальных актов по работе с персональными данными в целом ряде государств.Обсуждаем, как развивается ситуация в Канаде: что предлагают регуляторы и какие риски видят в потенциальных изменениях нормативной базы технологические специалисты и компании.  Unsplash / Oliver HihnЧто случилосьСтепень влияния GDPR сложно преувеличить. Он потянул за собой цепочку похожих мер в США, Бразилии и даже Кении. На третий год победоносного шествия закона по планете к делу подключились и канадские регуляторы. Они решили обзавестись своей «локализацией» закона — пересмотреть двадцатилетний PIPEDA (Personal Information Protection and Electronic Documents Act) и разработать новый документ под названием Consumer Privacy Protection Act (CPPA).Согласно официальным заявлениям, CPPA призван привести условия сбора, обработки, хранения и использования персональных данных в соответствие общему уровню технологического развития и контексту взаимодействия граждан с местными организациями. В частности, правительство Канады делает акцент на том, как последним следует разъяснять причины сбора данных и степень их «мобильности» — например, предупреждать о трансграничной передаче и предоставлять возможность безопасного трансфера из одной организации в другую по запросу. Главное, что выделяет «GDPR по-канадски», это — новые санкции для нарушителей регламента. Им придется выложить 3% годового дохода компании (с учетом заработка филиалов по всему миру) или 10 миллионов, по всей видимости, канадских долларов. Но в случае крупной утечки, умышленного слива или нарушения правил деиндентификации данных, предусмотрен штраф до 5% / 25 миллионов соответственно.
 Unsplash / Liam Seskis Что интересно, в CPPA учли и ситуации, когда не нужно получать согласие для сбора персональных данных. Допустим, сюда относят поддержание сетевой безопасности, плюс — все, что не подпадает под коммерческую деятельность и другие попытки оказать какое-либо влияние на принятие человеком тех или иных решений (например, о покупке).
 Unsplash / evВообще говоря, локальные варианты GDPR были только началом. Сейчас многие страны начинают кампании с предложениями точечного регулирования сферы больших данных.Так, в Великобритании набирает обороты так называемая «National Data Strategy» — стратегия, целью которой является развертывание «экономики данных». Правительство хочет понимать, где и как используют те или иные данные граждан, и пытается предложить универсальный механизм или даже стандарт для их анонимного учета, классификации и обработки на стороне компаний.Скорее всего, разработка документа затянется на долгие годы, поэтому у других стран еще будет много возможностей, чтобы запустить собственные аналоги и такой инициативы (помимо GDPR).Что еще почитать у нас в блоге:
=========== Источник: habr.com =========== Похожие новости:
Блог компании VAS Experts ), #_hranenie_dannyh ( Хранение данных ), #_zakonodatelstvo_v_it ( Законодательство в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 28-Сен 03:11
Часовой пояс: UTC + 5