Краткое содержание:

В этой статье мы рассмотрим ключевые различия между законами о конфиденциальности данных в Европейском Союзе (ЕС) и Соединенных Штатах (U.С.). Важно понять эти вариации, поскольку они могут иметь значительные последствия для отдельных лиц и предприятий, работающих в обоих регионах.

Ключевые моменты:

1. U.С. имеет ограниченные законы о защите данных по сравнению с ЕС.
2. Только три состояния в U.С. иметь законы о защите данных, признанные ЕС.
3. Законы о защите данных ЕС сосредоточены на индивидуальных правах и комплексных правилах.
4. U.С. Законы о защите данных более ориентированы на бизнес, в первую очередь решающие «не продавать» права.
5. ЕС имеет Директиву по защите данных 1995/46/EC и Директива E-Privacy 2002/58/EC.
6. Директива по защите данных регулирует автоматическую обработку персональных данных и систем регистрации.
7. Принципы защиты данных ЕС включают справедливую и законную обработку, минимизация данных и точность.
8. Контроллеры данных в ЕС должны предоставить информацию субъектам данных и реализовать меры безопасности.
9. Субъекты данных в ЕС имеют права на доступ к личным данным, судебным средствам и возражениям против обработки данных.
10. Персональные веб -сайты также должны соответствовать директиве по защите данных в ЕС.

Вопросы и ответы:

1. Как законы о конфиденциальности данных различаются между ЕС и U.С.?

В ЕС законы о защите данных гораздо более всеобъемлющие и сосредоточены на правах индивидуальных. Напротив, U.С. имеет ограниченные законы о защите данных, в первую очередь решающие деловые действия, такие как «не продавать» права.

2. Который утверждает в U.С. иметь законы о защите данных, признанные ЕС?

Штаты штата Вирджиния, Колорадо и Калифорния имеют законы о защите данных, которые соответствуют стандартам ЕС.

3. Каковы основные правовые инструменты, регулирующие защиту данных в ЕС?

Основными юридическими инструментами в ЕС являются директива по защите данных 1995/46/EC и Директива E-Privacy 2002/58/EC.

4. Какова директива по защите данных 1995/46/EC?

Эта директива относится к автоматической обработке персональных данных и систем подачи. Он определяет личные данные как любую информацию, связанную с «идентифицированным или идентифицируемым естественным человеком.”

5. Какие обязательства имеют контроллеры данных в соответствии с директивой по защите данных?

Контроллеры данных должны обеспечить справедливую и законную обработку, собирать данные для конкретных целей и сохранять точные и актуальные данные. Они также несут ответственность за реализацию технических и организационных мер для защиты данных.

6. Какие права имеют субъекты данных в соответствии с директивой по защите данных в ЕС?

Субъекты данных имеют право получить доступ к своим личным данным, искать судебные средства и возражать против определенных методов обработки данных. Они также могут запросить исправление, стирание или блокирование данных, которые не соответствуют директиве.

7. Личные сайты освобождены от директивы о защите данных ЕС?

Обработка личных данных отдельным лицом для частной и домашней деятельности освобождена. Однако конкретные судебные дела пояснили, что личные веб -сайты должны соответствовать директиве.

8. Как принципы защиты данных ЕС подчеркивают качество данных?

Принципы защиты данных ЕС требуют, чтобы данные были собраны справедливо и законно, используются для конкретных целей, и сохранялись точными и актуальными. Они также подчеркивают минимизацию данных и собирают только данные, которые необходимы для предполагаемых целей.

9. Каковы ключевые различия между ЕС и U.С. Законы о защите данных в отношении индивидуальных прав?

Законы ЕС обеспечивают более сильные индивидуальные права, такие как право на доступ к личным данным, в то время как U.С. Законы в первую очередь сосредоточены на деловой деятельности, такой как «не продавать» права.

10. Как предприятия могут работать как в ЕС, так и в U.С. Навигайте различия в законах о защите данных?

Предприятия должны обеспечить соблюдение более строгих законов ЕС при обработке личных данных жителей ЕС. Они должны реализовать комплексные меры по защите данных и понимать конкретные требования каждой юрисдикции, которую они работают.

11. Как директива EU E-Privacy дополняет директиву по защите данных?

Директива по электронной ипривности содержит дополнительные правила, специально предназначенные для электронных коммуникаций, обеспечивая права на конфиденциальность в таких областях, как онлайн-отслеживание, куки и нежелательные электронные сообщения.

12. Могут ли люди в ЕС осуществлять свои права на доступ к личным данным, собранным предприятиями в U.С.?

Люди в ЕС имеют право получить доступ к своим личным данным независимо от того, где находится обработка. Таким образом, они могут запросить доступ к персональным данным, собранным предприятиями в U.С.

13. Каковы последствия несоблюдения законов о защите данных ЕС?

Несоблюдение законов о защите данных ЕС может привести к существенным штрафам и повреждению репутации для бизнеса. Люди также имеют право искать судебные средства правовой защиты за нарушения своих прав на защиту данных.

14. Как законы о защите данных ЕС влияют на трансграничные передачи данных?

Законы о защите данных ЕС устанавливают ограничения и требования на трансграничные передачи данных, чтобы обеспечить адекватную защиту персональных данных при передаче в страны за пределами ЕС с более низкими стандартами защиты данных.

15. Как ты.С. Предприятия обеспечивают соблюдение законов о защите данных ЕС?

U.С. Предприятия должны оценить свою деятельность по обработке данных, реализовать необходимые меры защиты и рассмотреть такие механизмы, как стандартные договорные положения или сертификация конфиденциальности для легитимизации передачи персональных данных из ЕС.

6 способов, которыми ты. С. и законы о конфиденциальности данных в ЕС различаются

U.С. имеет аналогичную структуру с федеральным законом, обычно превышающим и превосходящим законы штата. Тем не менее, есть только три штата из 50 с любым законом о защите данных, поскольку ЕС признает его (Вирджиния, Колорадо и Калифорния). Даже эти законы ограничены по объему, содержанию и правам по сравнению с законами о защите данных ЕС, сосредоточившись больше на деловой деятельности, такой как “Не продавай” Права.

Различия между законами о конфиденциальности в ЕС и США

Все, что мы делаем в Интернете, уходит цифровой Отпечатки пальцев. Поэтому логично, что многие веб -пользователи беспокоятся о проблеме конфиденциальности. Их беспокойство не без причины. Поскольку законы о конфиденциальности отличаются от страны к стране, компания по закону не обязана гарантировать, что обработка персональных данных будет соответствовать законам всех стран, где лица, данные, были собраны. Например, если компания включена в оффшорную страну, компания может не быть обязана соблюдать какие -либо законы о защите данных. Однако из -за глобального характера Интернета такая компания может по -прежнему предлагать онлайн -услуги лицам, проживающим в странах со строгими законами о защите данных.

Даже крупные страны и организации, такие как ЕС и США, имеют разные подходы в своих попытках регулировать использование личной информации в информационном обществе. Цель настоящей статьи – кратко описать законы о защите данных ЕС (раздел 2) и США (раздел 3).
Наконец, сделан вывод (раздел 4).

Законы о защите данных ЕС

В ЕС два основных правовых инструмента регулируют защиту данных в информационном обществе. Эти правовые инструменты включают Директиву по защите данных 1995/46/EC (раздел 2.1) и Директива E-Privacy 2002/58/EC (раздел 2.2).

Директива по защите данных 1995/46/EC

Директива по защите данных ЕС 1995/46/EC применима к автоматической обработке персональных данных и другой обработке персональных данных, которые составляют часть системы подачи заявок. Директива определяет личные данные как любую информацию, которая относится к “идентифицированное или идентифицируемое естественное лицо.” Следует отметить, что обработка личных данных, связанных с общественной безопасностью, защитой, государственной безопасностью и деятельностью в области уголовного права, не подпадает под действие директивы. Ниже обязательства лица, ответственного за определение целей и средств обработки личных данных (“контроллер данных”) и права человека, чьи данные обрабатываются (“субъект данных”) Обсуждаются.

Обязательства контроллера данных

В соответствии с Директивой 1995/46/EC контроллер данных должен обеспечить соответствие нескольким принципам, касающимся качества данных. Эти принципы включают: (1) собранные данные должны обрабатываться справедливо и законно; (2) собранные данные должны быть собраны для указанных, явных и законных целей, а также не обрабатываться таким образом, несовместимым с этими целями; (3) Собранные данные должны быть адекватными, актуальными и не чрезмерными по отношению к целям, для которых они собираются и/или дополнительно обрабатываются; (4) Собранные данные должны быть точными и, при необходимости, поддерживать в курсе и; (5) Собранные данные должны храниться в форме, которая позволяет идентифицировать субъектов данных не дольше, чем необходимо для целей, для которых были собраны данные, или для которых они далее обработаны.

Контроллер данных должен не только соблюдать вышеупомянутые принципы, но также предоставлять определенную информацию субъекту данных. В частности, информация, которая должна быть предоставлена ​​для субъекта данных, включает в себя: (1) личность контроллера и его представителя, если таковые имеются; (2) цели обработки, для которой предназначены данные; (3) Любая дополнительная информация, такая как (i) получатели или категории получателей данных, (ii), являются ли ответы на вопросы обязательными или добровольными, а также возможные последствия неспособности ответить, (iii) существование права на доступ и право исправить данные, касающиеся его, (iii). Контроллер данных также обязан реализовать адекватные технические и организационные меры против незаконного доступа, случайных потерь, разрушения, изменения данных.

Права субъекта данных

В соответствии с Директивой ЕС 1995/46/EC субъект данных имеет следующие права: (1) право на доступ к личным данным, связанным с ним; (2) право на судебное средство; и (3) право возражать против определенных методов обработки данных. Следует добавить, что право на доступ к персональным данным включает в себя следующие права: (i) право на получение копий данных, обработанных контроллером данных; (ii) право получать от контроллера данных оператор, указывающий, обрабатываются ли данные, относящиеся к субъекту данных; (iii) право получать информацию о целях обработки; (iv) право получать информацию о категориях соответствующих данных; и (v) право знать получателей, которым раскрываются данные, (vi) право на получение исправления, стирания или блокировки данных, обработка которых не соответствует положениям директивы ЕС по защите данных 1995/46/EC.

Личные веб -сайты должны также соответствовать директиве по защите данных ЕС 1995/46/EC

Обработка персональных данных естественным человеком в рамках чисто частной деятельности и домашней деятельности освобождается от Директивы ЕС по защите данных 1995/46/EC. Однако в знаменитом решении (дело C-101/01, Бодил Линдквист, решение от 6 ноября 2003 г.), Европейский суд установил, что женщина, которая определила и включила информацию о том, как коллеги-добровольцы на ее личном веб-сайте нарушили директиву защиты данных. Причина заключалась в том, что создание личного веб -сайта не было личной деятельностью, выходящей за рамки директивы ЕС по защите данных 1995/46/EC.

Директива E-Privacy 2002/58/EC

В дополнение к Директиве по защите данных в ЕС 1995/46/EC, ЕС принял директиву E-Privacy 2002/58/EC, которая была нацелена на обеспечение защиты личных данных в области телекоммуникаций. Сфера деятельности директивы E-Privacy включает в себя общедоступные услуги электронных коммуникаций в общественных телекоммуникационных сетях в ЕС. В частности, директива E-Privacy 2002/58/EC регулирует “данные трафика” и “данные местоположения.” Термин “данные трафика” относится к данным, необходимым для предоставления связи. Термин “данные местоположения” относится к данным, дающим географическую позицию устройства. Директива по электронной иривности также регулирует незапрошенные коммуникации (“спам”), cookie и шпионское послание.

В соответствии с Директивой в области электронных ириф. Они также должны уведомить подписчиков или клиентов, которые, вероятно, будут негативно повлиять на нарушение, которое может быть кражей личности, потери репутации и т. Д. Вместе с уведомлением провайдер также должен представить список предлагаемых мер, которые будут использоваться для противодействия нарушению.

Что касается файлов cookie, в Директиве E-Privacy говорится, что они могут быть установлены на устройствах подписчиков только после явного согласия подписчика или пользователя. Следует отметить, что такое согласие может быть получено только после того, как абонента будет предоставлена ​​информация, требуемая Директивой электронной иперионы, и после того, как ему было предложено право отказаться от такого доступа. Что касается спама, в Директиве с электронными иристами говорится, что средства правовой защиты от нарушений положений о нежелательных сообщениях могут быть получены в ходе судебного разбирательства.

Защита данных в США

В отличие от ЕС, США не имеют единого общего закона о конфиденциальности. На федеральном уровне Соединенные Штаты поддерживают отраслевой подход к законодательству о защите данных, где охватываются определенные отрасли, а другие не находятся. На государственном уровне большинство штатов приняли некоторую форму законодательства о конфиденциальности. Ниже мы быстро обсуждаем три важных федеральных законов о защите данных, а именно: Закон о мобильности и подотчетности медицинского страхования (HIPAA), Закон о справедливой и точной кредитной транзакции (FACTA) и дети’S Закон о защите конфиденциальности в Интернете (COPPA).

Hippa

Целью HIPPA является обеспечение защиты для индивидуально идентифицируемых данных о здоровье. В частности, HIPPA определяет, кто может иметь доступ к медицинской информации. В большинстве случаев такая информация может использоваться только медицинскими работниками, которые используют ее в целях лечения и координации ухода. Информация, подлежащая защите, включает в себя медицинских работников’ Примечания и записи, страховщик здравоохранения’S Компьютерные записи, информация о выставлении счетов, а также разговоры между медиками, касающимися пациента’S Care и лечение.

Факт

Цель факта – помочь защитить потребителей’ Кредитная информация из рисков, связанных с кражей данных. В соответствии с Facta, квитанциями по кредитной карте и дебетовым картам, за исключением рукописных квитанций, не должны перечислять больше, чем последние пять цифр номера карты. Следует также отметить, что в соответствии с Facta лицо, запрашивающее запрос на кредитный отчет, имеет право потребовать, чтобы первые пять цифр его номера социального страхования не были включены в файл.

Коппа

Цель COPPA – защитить конфиденциальность детей в возрасте до 13 лет. Охват Закона охватывает веб -сайты, направленные на детей или которые имеют знания, что дети посещают веб -сайт. COPPA налагает обязательство операторам этих веб -сайтов публиковать политики конфиденциальности, в которой указано, собирается ли личная информация, как используется эта информация, а также методы раскрытия операторов веб -сайтов. Чтобы собрать эту информацию от детей, веб -сайты’ Операторы должны получить проверку родителей. По запросу родителей поставщик должен представить родителю описание типа собранной информации, и прекратить собирать данные от конкретного ребенка.

Заключение

В соответствии с законодательством ЕС личные данные могут быть собраны только в строгих условиях и для законных целей. Основным компонентом Закона о защите данных ЕС является директива по защите данных 1995/46/EC.
В США нет всеобъемлющего закона, регулирующего сбор и обработку персональных данных. Вместо этого защита данных регулируется многими государственными и федеральными законами.

Различные подходы ЕС и нас к защите данных, вероятно, связаны с историей. В Европе, где у людей были диктатура, защита данных объявляется как право человека и регулируется комплексным законодательством о защите данных. В связи с этим стоит упомянуть, что Стаси, официальная служба государственной безопасности Германской Демократической Республики или ГДР (неформально известная как Восточная Германия), работала 500 000 секретных информаторов. Задача 10 000 этих информаторов состояла в том, чтобы выслушать и транскрибировать телефонные звонки граждан. Напротив, в США отношение к защите данных регулируется главным образом рыночными силами. Следует также отметить, что с принятием Закона о патриотах США, который был принят в ответ на события 11 сентября 2001 года, США значительно сократили ограничения в сборе личных данных правоохранительными органами.

Источники

• Аллен, а., ‘Непопулярная конфиденциальность: что мы должны скрыть‘, Издательство Оксфордского университета, 2011.
• Диксон, с., Геллман, р., ‘Конфиденциальность в Интернете: справочный справочник‘, ABC-Clio, 2011.
• Фишер, с., ‘Законодательство о конфиденциальности в 21 веке будет американским, европейским или неравномерным‘, Grin Verlag, 2012.
• Герт, с., Поллет, у., Гутвурт, с.,(Редакторы), ‘Защита данных в профилированном мире‘, Springer 2010.
• Levmore, s., Nussbaum, m., ‘Наступательный интернет: речь, конфиденциальность и репутация’, Издательство Гарвардского университета, 2011.
• Ллойд, я., ‘Закон о информационных технологиях‘, Издательство Оксфордского университета, 2008.
• Noorda, c., ‘электронное открытие и конфиденциальность данных: практическое руководство‘, Kluwer Law International, 2011.
• Rogosch, p., Хол, е., ‘Защита данных и Facebook: эмпирический анализ роли согласия в социальных сетях‘, Liter Verlag Münster, 2012.
• Роуланд, д., ‘Закон о информационных технологиях‘, Routledge, 2005.
• Дикий, c., Вайнштейн, с., Macewan, n., Geach, n., ‘Закон о электронном и мобильной торговле: анализ торговли, финансов, СМИ и киберпреступности в цифровую эпоху‘, Университет Хертфордшир Пресс, 2011.

6 способов, которыми ты.С. и законы о конфиденциальности данных в ЕС различаются

U.K. покинул ЕС, и для тех из нас, кто там живет, мы’исторически принял европейский “Фундаментальные права человека” Подход к защите данных. Тем не менее, иногда мы можем быть культурно ближе к U.С., с общим языком и влиянием более крупного u.С. поставщики технологий, которые иногда борются в Европе из -за их дизайна для U.С. рынок, который имеет другой подход к “конфиденциальность данных.”

В этом блоге рассматривается контраст между европейским и u.С. Подходы к конфиденциальности данных .

1. PII против. личные данные

GDPR определяет личные данные как “любая информация, связанная с идентифицированным или идентифицируемым естественным человеком.” Единственное определение для всего ЕЭА принять. Обычно это интерпретируется как обширное определение, которое включает данные в общественном доступе, который часто исключается из u.С. Определения лично идентифицируемой информации (PII).

U.С. Определения PII варьируются, как несколько законов в U.С. Определить PII по -разному в зависимости от темы (например, в соответствии с HIPAA, определение PII будет включать только данные Heath, обработанные поставщиками медицинских услуг, тогда как при COPPA это будут дети’S Данные о технологических платформах). Кроме того, определения конфиденциальных данных в U.С. Посмотрите на финансовые данные и сильные правительственные идентификаторы, тогда как данные специальных категорий ЕС построены из областей, которые могут влиять на права человека, например, такие области, как религия, здоровье, раса, этническая принадлежность, политические взгляды, биометрика, половая жизнь или генетика.

2. Юридическая база и выбирать VS. уклоняться

Еще одним важным отличием является общий запрет на отправную точку ЕС на обработку – “Нет, если ..” в отличие от u.С. отправная точка “Да, если ..”.

Это означает u.С. по умолчанию “уклоняться” Подход как стандартный (мы сделаем это, если вы не скажете «нет»), тогда как ЕС применяет больший защитный подход к конфиденциальности только в том, чтобы обрабатывать только с действительной юридической основой (который в случае согласия обычно является “выбрать в” модель)

3. Omnibus vs. Секторные законы о конфиденциальности

Есть плюсы и минусы разных подходов. Тем не менее, мне нравится ты.С. Секторный подход к закону на федеральном уровне, потому что они могут быть более предписывающими, чем ЕС, поскольку они имеют специализированные законы о данных для каждого сектора, такие как HIPAA, Coppa, Ferpa и т. Д. Однако эти доны’T охватывают все данные или все сектора.

В ЕС подход называется “Омнибус” В том, что существует один отдельный закон о конфиденциальности, который по своей природе должен принять общие принципы, поэтому не может быть таким конкретным, даже если оно охватывает больший объем всех данных любого человека (в отличие от CCPA, который смотрит в основном на калифорнийских потребителей).

4. Пан Европейский/Государство -член против. Федеральный/штат

ЕС’S GDPR обеспечивает стандарт, который обеспечивает универсальный магазин в 27 странах, причем еще три страны ЕЭЗ внесены договором на аналогичный уровень защиты. Существует возможность для дисперсии национального права, но это не может опуститься ниже уровней GDPR и может изменить только GDPR, где определяется сам GDPR. В противном случае закон гармонирует во всех государствах -членах.

U.С. имеет аналогичную структуру с федеральным законом, обычно превышающим и превосходящим законы штата. Тем не менее, есть только три штата из 50 с любым законом о защите данных, поскольку ЕС признает его (Вирджиния, Колорадо и Калифорния). Даже эти законы ограничены по объему, содержанию и правам по сравнению с законами о защите данных ЕС, сосредоточившись больше на деловой деятельности, такой как “Не продавай” Права.

5. Фундаментальные права человека против. защита потребителя

Хотя u.С. давно признал право на уединение вас.С. Граждане, нет общего права на конфиденциальность для не национальных. Опыт ЕС во Второй мировой войне и более.

U.С. Подходы больше связаны с стандартами торговли бизнеса и хорошими для вашего клиента, и поэтому могут исключить права государственного и человеческого ресурса типа конфиденциальности. Это также распространяется на регулирующие органы, где ЕС, как правило, имеет выделенные регуляторы защиты данных. Напротив, U.С. могут иметь разные регуляторы в зависимости от закона. FTC берет на себя инициативу для бизнеса с штрафами, обычно выпускаемыми для “несправедливые и обманчивые деловые практики” и внесул “Указы о согласии” распространено за законные штрафы.

6. Права на конфиденциальность и владение данными

С учетом модели фундаментальных прав в ЕС появилась концепция, что права на защиту данных должны быть свободны для всех, так как это часто является наиболее уязвимым, кто имеет наибольшую потребность. Это также распространяется на закон о защите данных, только назначение обязательств и прав, но не владения данными. Это может привести к тому, что данные торгуются как товар, где бедные продают и богатые могут позволить себе их конфиденциальность.

U.С.больше рассматривает владение данными как интеллектуальную собственность, что может привести к моделям конфиденциальности, где конфиденциальность доступна только для тех, кто имеет ресурсы для ее защиты.

Что лучше для конфиденциальности: u.С. или ЕС?

Обратите внимание, что ни один режим не “начальство,” Поскольку у них обоих есть суверенные силы. Однако у них разные отправные точки, с u.С. Часто более удобно для бизнеса, сосредоточиться на коммерции. И после зверств 11 сентября, часто с законами о безопасности “Трамп” те, кто индивидуальный конфиденциальность. ЕС придерживается противоположного философского подхода с индивидуальными правами, превосходящими потребности в безопасности.

Оба подхода имеют определенные заслуги и недостатки, и с международными переводами международные предприятия сталкиваются с проблемами с несовместимостью. Однако проблема политическая. Мы смотрим в будущее, чтобы увидеть, сходятся ли различные режимы или усложняют передачу данных, отвлекаясь в подходе.

Хочу узнать больше о конфиденциальности? Проверьте мой Курсы конфиденциальности на Навыки Infosec .