Конфиденциальность и безопасность США февраль 2024 г.

Добро пожаловать на выпуск этого месяца Загрузка BR Privacy & Security, цифрового информационного бюллетеня о практике Blank Rome в области конфиденциальности, безопасности и защиты данных. 

ГОСУДАРСТВЕННЫЕ И МЕСТНЫЕ ЗАКОНЫ И РЕГУЛИРОВАНИЕ

Нью-Джерси вводит в действие Всеобъемлющий закон о конфиденциальности Нью-Джерси стал четырнадцатым штатом, принявшим всеобъемлющий закон о конфиденциальности (S332). S332 будет применяться к организациям, ведущим бизнес в Нью-Джерси, которые либо контролируют, либо обрабатывают персональные данные (i) не менее 100 000 потребителей из Нью-Джерси или (ii) не менее 25 000 потребителей из Нью-Джерси и получают доход или скидку на цену любых товаров или услуг от продажи персональных данных. Как и его предшественники, S332 предоставляет права на доступ, удаление, исправление и отказ от обработки для продажи, целевой рекламы и профилирования. S332 также требует согласия на обработку конфиденциальных данных и оценки защиты данных для определенных действий по обработке. Как и в Колорадо и Калифорнии, должен быть предусмотрен универсальный механизм отказа, и Генеральный прокурор Нью-Джерси сможет издавать нормативные акты. S332 вступит в силу 15 января 2025 г., и в течение первых восемнадцати месяцев будет предоставлен тридцатидневный период исправления.

NYDFS предлагает Рекомендации по использованию страховщиком искусственного интеллекта Департамент финансовых услуг штата Нью-Йорк (“NYDFS”) выпустил Циркулярное письмо о предлагаемом страховании (“Предлагаемый ICL”) для всех страховщиков, уполномоченных оформлять страховые полисы в штате Нью-Йорк, лицензированных обществах братских пособий и Страхового фонда штата Нью-Йорк, в котором содержатся рекомендации относительно использования систем искусственного интеллекта (“AI”) и внешних источников потребительских данных и информации (“ECDIS”) при страховании и ценообразовании. Предлагаемый ICL основывается на интерпретации NYDFS существующих обязательств по раскрытию информации и прозрачности, ранее изложенных в Циркулярном письме NYDFS по страхованию № 1 за 2019 год (“ICL 2019”), содержит рекомендации по отраслевым стандартам, передовой практике и обязательствам по соблюдению действующих законов и нормативных актов (например, по надзору за поставщиками, управлению ими и управлению рисками), а также излагает приоритеты NYDFS в области правоприменения.

Генеральный прокурор Калифорнии объявляет о проведении CCPA расследования в отношении потоковых сервисов Генеральный прокурор Калифорнии Роб Бонта объявил, что его офис проводит проверку предприятий, предоставляющих потоковые сервисы, в соответствии с Законом Калифорнии о защите прав потребителей (“CCPA”). В частности, проверка Генерального прокурора Калифорнии будет сосредоточена на соблюдении требований CCPA об отказе от продажи и обмена личной информацией потребителей. Заявление Генерального прокурора напоминает компаниям, которые продают личную информацию или передают ее в целях целевой рекламы, что они должны предоставлять потребителям право отказаться от нее, что это право должно быть “простым и включать минимальные шаги”, и иметь возможность выбора на нескольких устройствах, если они вошли в свою учетную запись.

CPPA запускает новый веб-сайт для потребителей Калифорнийское агентство по защите конфиденциальности (“CPPA”), орган по обеспечению соблюдения Калифорнийского закона о правах на неприкосновенность частной жизни (“CPRA”), запустило новый ресурс, посвященный информированию калифорнийцев об их правах на неприкосновенность частной жизни. Веб-сайт предназначен для того, чтобы помочь калифорнийцам понять свои права в соответствии с CPRA и способы подачи жалобы, если они считают, что компания нарушила эти права. Веб-сайт также предоставляет предприятиям ресурсы для лучшего понимания своих обязательств в соответствии с CPRA. На веб-сайте также представлены рекомендации по ряду вопросов, касающихся конфиденциальности, включая рекомендации других государственных учреждений, которые могут помочь, если физическое лицо стало жертвой утечки данных, кражи личных данных и других посягательств на конфиденциальность.

ФЕДЕРАЛЬНЫЕ ЗАКОНЫ И НОРМАТИВНЫЕ АКТЫ

FTC публикует технологический блог о конфиденциальности ИИ Федеральная торговая комиссия (“FTC”) опубликовала сообщение в блоге, адресованное компаниям с искусственным интеллектом (“ИИ”) “модель как услуга”, напоминая им соблюдать обязательства по конфиденциальности, которые они берут на себя перед клиентами. Компании “Модель как услуга” разрабатывают и размещают модели искусственного интеллекта для предоставления третьим сторонам через интерфейс конечного пользователя или интерфейс прикладного программирования (“API”). FTC отмечает, что у компаний по принципу “модель как услуга” есть бизнес-стимул постоянно использовать данные для обучения своих моделей искусственного интеллекта. FTC предупреждает, что, если такие компании решат сохранить данные потребителей для целей обучения искусственному интеллекту без предварительного уведомления или получения прямого утвердительного согласия, они рискуют нарушить законы о защите прав потребителей. FTC напоминает компаниям, что искажение обязательств по обеспечению конфиденциальности и нераскрытие существенных фактов потребителям являются предметом правоприменительной практики FTC, а искажение, существенные упущения и неправильное использование данных, связанных с обучением и внедрением моделей искусственного интеллекта, могут нарушать антимонопольное законодательство.

Министерство обороны публикует предлагаемые киберправила Министерство обороны США (“DOD”) опубликовало свое предлагаемое правило по программе сертификации модели зрелости кибербезопасности (“CMMC”) и восемь руководящих документов для CMMC. CMMC предоставляет три уровня оценки требований к кибербезопасности на основе конфиденциальности информации, обрабатываемой подрядчиком. Уровень 1 требует оценки на соответствие 15 требованиям кибербезопасности в соответствии с требованиями Федеральных правил закупок к базовой защите информационных систем подрядчиков. Подрядчики, отчитывающиеся в соответствии с требованиями уровня 1, должны будут ежегодно проводить самооценку в Министерство обороны. Уровень 2 требует оценки на соответствие требованиям контроля кибербезопасности, изложенным в специальной публикации 800-171 Национального института стандартов и технологий (“NIST”) о защите контролируемой несекретной информации. Облачные провайдеры 2-го уровня должны соответствовать как минимум “умеренному” уровню Федеральной программы управления рисками и авторизацией. Ожидается, что от большинства подрядчиков 2-го уровня потребуется, чтобы оценку проводила независимая третья сторона. Подрядчики 3-го уровня должны будут пройти оценку Центром оценки кибербезопасности оборонно-промышленной базы, подразделением Агентства по управлению оборонными контрактами, в соответствии с 35 повышенными требованиями безопасности специальной публикации NIST 800-172.

Министерство торговли США публикует предлагаемые правила “Знай своего клиента” для поставщиков IaaS Бюро промышленности и безопасности Министерства торговли США выпустило предлагаемое правило, направленное на предотвращение использования иностранными субъектами продуктов инфраструктуры как услуги США (“IaaS”) (т.е. Сервисов облачных вычислений) для осуществления вредоносной деятельности, поддерживаемой кибератаками, в частности, путем введения определенных требований к должной осмотрительности и отчетности для американских поставщиков IaaS и их иностранных реселлеров. Предлагаемое правило потребует от американских поставщиков IaaS внедрить программу идентификации клиентов, наделит Министерство торговли США полномочиями запрещать или ограничивать доступ к американским продуктам IaaS определенных иностранных лиц или лиц в определенных иностранных юрисдикциях и потребует сообщать об известных случаях обучения иностранными лицами крупных моделей искусственного интеллекта, “обладающих потенциальными возможностями, которые могут быть использованы в злонамеренной кибератаке” (например, атаках социальной инженерии или атак типа “отказ в обслуживании”). Нажмите здесь, чтобы узнать больше о предлагаемом правиле от команды Blank Rome по международной торговле.

FTC заключает многостороннее соглашение о международном сотрудничестве Федеральная торговая комиссия (“FTC”) объявила о своем участии в Глобальном соглашении о сотрудничестве в области обеспечения конфиденциальности (“Global CAPE”), необязательном международном и многостороннем соглашении в соответствии с глобальными правилами трансграничной конфиденциальности, которое позволяет органам по защите данных и безопасности участников Global CAPE сотрудничать с расследованиями других участников и трансграничными действиями по защите данных и обеспечению конфиденциальности. Участие FTC в Глобальном сотрудничестве CAPE направлено на повышение эффективности FTC в обеспечении соблюдения законов США о конфиденциальности и безопасности потребителей, позволяя участникам Global CAPE поддерживать юридические действия и усилия FTC по решению вопросов правоприменения, связанных с конфиденциальностью и безопасностью данных, без предварительного согласования отдельного меморандума о взаимопонимании. Участниками Global CAPE не являются страны Азиатско-Тихоокеанского региона.

NIST публикует первоначальный проект Руководства по мерам информационной безопасности Национальный институт стандартов и технологий (“NIST”) опубликовал для общественного обсуждения первоначальные рабочие проекты тома 1 “Определение и выбор мер” (“Том 1”) и тома 2 “Разработка программы измерения информационной безопасности” (“Том 2”) Специального издания NIST (SP) 800-55, Руководства по измерениям информационной безопасности (совместно именуемого “Проект руководства”). Проект Руководства предлагает практические рекомендации о том, как организации могут разрабатывать меры информационной безопасности для оценки действующих политик безопасности, процедур и средств контроля. В томе 1 описывается гибкий подход к разработке, выбору и расстановке приоритетов таких мер, в то время как в томе 2 предлагается методология разработки и внедрения структуры программы измерения информационной безопасности. Комментарии общественности к проекту Руководства должны быть представлены по адресу cyber-measures@list.nist.gov до 18 марта 2024 г., и рецензентам настоятельно рекомендуется использовать шаблоны комментариев к тому 1 и тому 2.

Законодатели Палаты представителей предлагают законопроект о защите физических лиц от поддельных изображений, созданных искусственным интеллектом Законодатели Палаты представителей предложили законопроект под названием Закон о запрете поддельных копий и несанкционированного дублирования с искусственным интеллектом (“Закон о ЗАПРЕТЕ МОШЕННИЧЕСТВА С искусственным интеллектом”), который призван устранить существующую путаницу законов штата и установить базовые меры защиты для американцев. Согласно Закону о запрете мошенничества с использованием искусственного интеллекта, репликация искусственного интеллекта будет разрешена только в том случае, если физическое лицо достигло 18 лет и старше и представлено адвокатом в соглашении или представлено коллективным договором. В законопроекте также рассматриваются проблемы, связанные с Первой поправкой, путем включения положения о том, что предполагаемый вред должен быть сопоставлен с тем, является ли созданная искусственным интеллектом копия преобразующим или защищенным комментарием по вопросу, представляющему общественный интерес. Законопроект предусматривает ответственность сторон в размере 50 000 долларов за нарушение плюс прибыль, полученную от незаконного использования изображения человека. Кроме того, несанкционированные создания искусственного интеллекта, копирующие голос или сходство человека, будут нести ответственность в размере 5000 долларов за нарушение, плюс прибыль, полученная от незаконного использования сходства человека.

СУДЕБНЫЙ ПРОЦЕСС В США

Спор о киберстраховании, связанный с исключением из правил ведения войны, урегулирован под пристальным наблюдением Пожалуй, самое популярное дело о страховании, связанное с кибератакой, внезапно прекратилось в прошлом месяце, когда оно было урегулировано. В деле Merck & Co. против ACE American Insurance Co. Компания Merck обратилась к своим страховщикам имущества за возмещением убытков от прерывания бизнеса на сумму более 1,4 миллиарда долларов, которые она понесла в результате атаки NotPetya в 2017 году, которую некоторые правительства приписали российским военным. Отказывая в страховании, страховщики Merck утверждали, что исключение военных и враждебных действий исключает покрытие убытков Merck. В результате значительной победы страхователей суд первой инстанции штата Нью-Джерси вынес решение в пользу Merck, постановив, что устаревшая формулировка исключения из войны не распространяется на кибератаки, подобные NotPetya. Скорее, это было ограничено традиционными формами военных действий. В прошлом году Апелляционный отдел Нью-Джерси подтвердил победу Merck, и страховщики подали апелляцию в Верховный суд Нью-Джерси. Пока дело находится на рассмотрении в Верховном суде Нью-Джерси, стороны договорились накануне устных прений. Хотя у Верховного суда Нью-Джерси не будет возможности взвесить ситуацию, дело Merck и поднятые в нем вопросы заставляют страховщиков пересмотреть исключение войны. В 2023 году Lloyd’s of London начал требовать от своих членов включать исключения в киберполитики в отношении убытков, возникающих в результате кибератак, поддерживаемых государством. Следуя этому примеру, другие киберстраховщики также вводят исключения. Страховщики обеспокоены защитой себя от системных убытков в результате киберсобытий. Однако эти изменения в исключении войны вызывают у страхователей вопросы о том, как страховщики будут их применять и будут ли они использовать их для чрезмерного ограничения страхового покрытия. Один важный вопрос связан с тем, как доказать причастность к кибератаке суверенного государства, когда большинство кибератак осуществляются под прикрытием. Держателям полисов следует проявлять пристальное внимание, если их страховщики стремятся изменить исключение войны в своих полисах, и следует отказаться от изменений, которые выходят за рамки, и тщательно проанализировать попытки страховщиков применить исключение для ограничения или отказа в покрытии.

Окружной суд отклоняет попытки временно заблокировать пересмотр FTC соглашения о конфиденциальности Meta Федеральный окружной суд отклонил ходатайство Meta о судебном запрете в ожидании обжалования решения суда о том, что у него нет юрисдикции, чтобы помешать Федеральной торговой комиссии (“FTC”) возобновить административное производство, связанное с приказом FTC от 2020 года, требующим от Meta выплатить штраф в размере 5 миллиардов долларов за ряд предполагаемых случаев неправомерного использования данных. В мае FTC внесла поправки в Распоряжение, обвинив Meta в нарушении условий Распоряжения путем введения пользователей в заблуждение относительно Facebook Messenger Kids communications и доступа сторонних разработчиков приложений к данным платформы. FTC стремится добавить новые требования к Заказу, в том числе запретить Meta монетизировать данные, собранные от пользователей моложе 18 лет. Суд установил, что Meta не смогла доказать, что ей был бы нанесен ущерб, если бы FTC не была предписана, и не смогла доказать, что баланс акций склонился в ее пользу, как того требует судебный запрет, или что судебный запрет отвечал бы общественным интересам. Meta также подала отдельный иск, подтверждающий конституционность административных правоприменительных полномочий FTC.

Удовлетворен иск в режиме инкогнито на нераскрытую сумму Google LLC и ее материнская компания Alphabet Inc. (совместно именуемая “Google”) согласились с нераскрытыми условиями урегулирования коллективного иска Brown и др. против Google LLC и др., впервые поданного в 2020 году на основании заявлений о том, что Google намеренно ввела в заблуждение “миллионы” потребителей, заставив их поверить, что они могут “просматривать веб-страницы конфиденциально” через режим инкогнито Google Chrome, в то время как на самом деле Google использовала рекламные технологии (например, Google Analytics и Google Ad Manager) для идентификации, отслеживания и сбора данных об этих пользователях. – личная информация и другие интимные подробности. В жалобе требовалось возместить ущерб в размере 5 миллиардов долларов, в том числе не менее 5000 долларов на пользователя за нарушения федеральных законов о прослушивании телефонных разговоров и законов штата Калифорния о конфиденциальности, начиная с 1 июня 2016 года.

Больницы стремятся ввести принудительное онлайн-отслеживание HHS Семнадцать больничных ассоциаций, в совокупности представляющих тысячи больниц и систем здравоохранения в двадцати штатах, подали иск amicus в поддержку истцов по делу Американская ассоциация больниц и др. против Бесерры и др., стремясь обязать Министерство здравоохранения и социальных служб США (“HHS”) обеспечить соблюдение правил, изложенных в бюллетене от декабря 2022 г., включая ограничения на использование технологий онлайн-отслеживания организациями, деятельность которых регулируется Законом о переносимости медицинского страхования и подотчетности 1996 г. (“HIPAA”) и другими широкими ограничения на использование и раскрытие регулируемыми организациями индивидуально идентифицируемой медицинской информации пациентов (“IIHI”). Организации больниц утверждают, среди прочего, что запрещенные правилами методы приведут к большему ущербу для населения, поскольку поставщикам медицинских услуг будет сложно предоставлять точную информацию и жизненно важные ресурсы населению, в том числе для борьбы с дезинформацией, и затруднят выявление и устранение неравенства среди населения. Ожидается, что другие организации здравоохранения также представят предлагаемые брифинги в поддержку аналогичных аргументов.

Окружной суд Иллинойса отклонил коллективный иск о защите биометрической конфиденциальности Предложенные коллективные иски против Estee Lauder и различных ее брендов были отклонены окружным судьей США Линдси К. Дженкинс. В исках истцов утверждалось, что технология, позволяющая клиентам “примерять” косметику Estee Lauder, незаконно фиксировала и использовала биометрические данные на фотографиях, загруженных истцами в соответствии с Законом штата Иллинойс о конфиденциальности биометрической информации. Инструмент “Примерка” позволяет потребителям, посещающим веб-сайты различных брендов Estee Lauder, “примерить” тени для век, губную помаду, румяна и другие продукты, загрузив изображение потребителя. Затем инструмент использует отображение лица для определения характеристик лица и накладывает продукт на лицо пользователя. В своем постановлении судья Дженкинс установила, что истцы не привели конкретных фактических утверждений о том, что Estee Lauder способна определять личность, “самостоятельно или в сочетании с другими доступными методами или источниками информации”.

ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА США

Председатель FCC направляет письма автопроизводителям и телекоммуникационным компаниям о безопасных подключенных автомобилях Председатель Федеральной комиссии по связи (“FCC”) Джессика Розенворсел разослала письма крупнейшим автопроизводителям США и некоторым телекоммуникационным компаниям, предупредив их о том факте, что злоумышленники использовали подключенные автомобили для преследования жертв домашнего насилия. В прошлом году FCC было поручено внедрить Закон о безопасных соединениях, который наделяет FCC полномочиями помогать жертвам домашнего насилия получать безопасный доступ к средствам связи. В письме отмечается, что автопроизводители неохотно помогают жертвам этого злоупотребления или ограничивают доступ партнеров—нарушителей к подключениям и данным автомобиля, особенно когда жертва является совладельцем автомобиля или ее имя не указано в его титуле. Председатель просит автопроизводителей предоставить подробную информацию о вариантах подключения, которые они предварительно устанавливают или планируют установить в будущем на любые автомобили, которые они продают в США, и о том, как они планируют помочь жертвам домашнего насилия отключиться от своих обидчиков.

Принудительные действия FTC запрещают использование и продажу конфиденциальных данных о местоположении компанией Data Broker FTC ввела предлагаемый приказ против X-Mode Social, Inc., второго по величине брокера данных о местоположении в США, и его преемника, Outlogic, LLC (совместно именуемого “X-Mode”), в связи с незаконным сбором, компиляцией и продажей X-Mode точных геолокационных данных потребителей без раскрытия целей, для которых будут использоваться данные потребителей, и без получения информированного согласия таких потребителей на это, как указано в жалобе FTC. X-Mode также не внедрила политику удаления конфиденциальных данных о местоположении (например, мест отправления культа или учреждений репродуктивного ухода) из исходных данных, которые она продавала, и не применила необходимые технические меры предосторожности и надзор для обеспечения соблюдения законов о конфиденциальности потребителей. В дополнение к другим положениям, предлагаемый Приказ закрепляет первый в истории запрет FTC на использование и продажу конфиденциальных данных о местоположении.

FTC запрещает агрегатору данных продавать или лицензировать точные данные о местоположении FTC объявила о принудительном действии, запрещающем агрегатору данных InMarket Media (“ИнМаркет”) продавать или лицензировать точные данные о местоположении, используемые для маркетинга и целевой рекламы. FTC утверждала, что InMarket нарушил раздел 5 Закона FTC, не сумев должным образом проинформировать потребителей и получить их согласие перед сбором и использованием данных об их местоположении. Кроме того, InMarket хранила данные о геолокации в течение пяти лет, что увеличивало риск раскрытия данных. Сделка по разрешению претензий FTC запретит InMarket продавать или лицензировать точные данные о местоположении. Компании InMarket также будет запрещено продавать, лицензировать, передавать или делиться любыми продуктами или услугами, которые классифицируют потребителей или нацелены на них на основе конфиденциальных данных о местоположении. Наконец, InMarket будет обязана усилить меры защиты потребителей, включая удаление или уничтожение всех ранее собранных данных о местоположении и любых продуктов, произведенных на основе этих данных, если только она не получила согласия потребителя или не может гарантировать, что данные были деидентифицированы или стали неконфликтными.

Генеральный прокурор Нью-Йорка заключил соглашение с Нью-Йоркской пресвитерианской больницей Генеральный прокурор Нью-Йорка объявил о выплате 300 000 долларов США Нью-Йоркской пресвитерианской больнице за раскрытие защищенной медицинской информации (“PHI”) посетителей веб-сайта в нарушение Закона о переносимости и подотчетности медицинского страхования (“HIPAA”). На веб-сайте больницы, который позволяет посетителям записываться на прием, искать врачей, узнавать об услугах больницы и изучать информацию о симптомах и состояниях, использовались сторонние технологии отслеживания (например, пиксели). Такие технологии собирали информацию, включая IP-адреса и URL-адреса веб-страниц, на которые переходили пользователи, что в некоторых случаях выявляло состояние здоровья. Эта информация была передана сторонним поставщикам услуг веб-аналитики и цифровой рекламы в маркетинговых целях. В июне 2022 года журналист сообщил об этой проблеме, а в марте 2023 года больница официально сообщила, что инцидент затронул более 54 000 человек. В результате урегулирования больница согласилась изменить свои политики, обеспечить удаление PHI и поддерживать усиленные гарантии конфиденциальности и контроль.

Генеральный прокурор Нью-Йорка заключил соглашение с поставщиком медицинских услуг на сумму 1,2 миллиона долларов за нарушения безопасности данных Генеральный прокурор Нью-Йорка Летиция Джеймс объявила, что ее ведомство заключило соглашение с Refuah Health Center, Inc. (“Refuah”) за неспособность обеспечить надлежащий контроль для защиты и ограничения доступа к конфиденциальным данным. В мае 2021 года Refuah подвергся атаке программы-вымогателя, в ходе которой кибератакующий получил доступ к данным примерно 250 000 жителей Нью-Йорка, включая имена, адреса, номера телефонов, номера социального страхования и другую личную информацию, связанную со здоровьем. Генеральная прокуратура пришла к выводу, что Refuah не удалось вывести из эксплуатации неактивные учетные записи пользователей, сменить учетные данные учетных записей пользователей и ограничить доступ сотрудников только к ресурсам и данным, необходимым для их бизнес-функций. В результате соглашения Refuah согласилась инвестировать 1,2 миллиона долларов в разработку и поддержание более надежных программ информационной безопасности для защиты данных пациентов. Кроме того, Refuah согласилась выплатить государству 450 000 долларов штрафных санкций и издержек.

FTC объявляет процесс подачи претензий потребителям, пострадавшим от утечки данных CafePress В 2022 году FTC завершила согласование с CafePress в связи с утечкой данных, которой CafePress подверглась в 2019 году, в результате которой было раскрыто более 180 000 незашифрованных номеров социального страхования. В рамках Распоряжения о согласии CafePress согласилась выплатить FTC 500 000 долларов, которые FTC использует для компенсации лицам, пострадавшим от нарушения. FTC уведомляет физических лиц, имеющих право на получение платежей по электронной почте и / или по почте – согласно Приказу о согласии, CafePress требовалось “прямо или косвенно предоставить достаточную информацию о клиентах, позволяющую [FTC] эффективно возмещать убытки потребителей владельцам магазинов, которые не получили причитающиеся комиссионные из-за закрытия своей учетной записи”. Пострадавшие лица также могут подать заявку на получение платежа, если они были “введены в заблуждение” заявлениями CafePress о безопасности данных и их номер социального страхования был раскрыт в результате взлома. Лица, имеющие на это право, могут подать претензию онлайн здесь.

МЕЖДУНАРОДНЫЕ ЗАКОНЫ И РЕГУЛИРОВАНИЕ

EDPB публикует сводку кейсов “одного окна” о безопасности обработки и уведомлениях о нарушениях данных Европейский совет по защите данных (“EDPB”) опубликовал сборник дел “одного окна” (“OSS”), в котором рассматриваются решения OSS, касающиеся статьи 32 Общего регламента ЕС по защите данных (“GDPR”) (безопасность обработки), статьи 33 (уведомление надзорного органа о нарушении персональных данных) и статьи 34 (сообщение субъекту данных о нарушении персональных данных). Механизм OSS GDPR требует сотрудничества между ведущим надзорным органом и другими заинтересованными надзорными органами. В сборнике дел показано, как надзорные органы совместно работали в рамках OSS при рассмотрении дел, связанных с безопасностью и уведомлениями о нарушениях данных, а также приведены описание и ссылки на решения, которые содержат ценные рекомендации по соблюдению этих требований.

Уполномоченный по вопросам конфиденциальности Квебека публикует Руководство для предприятий по уведомлениям о конфиденциальности Квебекская комиссия по доступу к информации Квебека опубликовала первое из обещанной серии руководств для предприятий, призванных облегчить понимание и соблюдение новых обязательств в соответствии с новым законом Квебека № 25. Первая из серии посвящена написанию уведомлений о конфиденциальности и содержит рекомендации и информацию о том, что должно содержать уведомление о конфиденциальности и как составить уведомление о конфиденциальности в простых и понятных терминах, которые легко понятны субъектам данных. Закон 25, вступивший в силу 22 сентября 2023 года, включает значительные новые требования к конфиденциальности для предприятий, обрабатывающих персональные данные физических лиц в Квебеке, включая повышенные требования к прозрачности и требования по проведению оценки воздействия на конфиденциальность перед передачей персональных данных за пределы Квебека.

Уполномоченный по защите персональных данных провинции Онтарио публикует Руководство по штрафам в соответствии с Законом о защите личной медицинской информации Управление комиссара по информации и неприкосновенности частной жизни провинции Онтарио (“IPC”) опубликовало руководство о том, как оно будет назначать и определять административные денежные штрафы за нарушения Закона о защите личной медицинской информации провинции Онтарио (“PHIPA”). PHIPA регулирует сбор, использование и раскрытие медицинской информации в секторе здравоохранения. Штрафы могут составлять максимум 50 000 долларов США для частных лиц и 500 000 долларов США для организаций. В руководстве приведены примеры прошлых случаев, которые могли быть хорошими кандидатами для наложения административных денежных штрафов, таких как серьезное изучение записей пациентов лицами, работающими в системе здравоохранения, нарушения с целью получения экономической выгоды, такие как ненадлежащий доступ и раскрытие личной медицинской информации с целью продажи продуктов и услуг, а также игнорирование права человека на доступ. В руководстве также рассматриваются факторы, которые правила PHIPA требуют, чтобы IPC учитывал при определении размера штрафных санкций.

Author: admin