«CPPA от GDPR не далеко падает»: в Канаде пытаются ужесточить требования по защите ПД

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) вступил в силу почти три года назад, но за столь незначительный период — по меркам развития законодательных инициатив — он стал настоящим флагманом, примером и во многом поводом для пересмотра локальных актов по работе с персональными данными в целом ряде государств.

Обсуждаем, как развивается ситуация в Канаде: что предлагают регуляторы и какие риски видят в потенциальных изменениях нормативной базы технологические специалисты и компании.

Unsplash / Oliver Hihn
Unsplash / Oliver Hihn

Что случилось

Степень влияния GDPR сложно преувеличить. Он потянул за собой цепочку похожих мер в США, Бразилии и даже Кении. На третий год победоносного шествия закона по планете к делу подключились и канадские регуляторы. Они решили обзавестись своей «локализацией» закона — пересмотреть двадцатилетний PIPEDA (Personal Information Protection and Electronic Documents Act) и разработать новый документ под названием Consumer Privacy Protection Act (CPPA).

Согласно официальным заявлениям, CPPA призван привести условия сбора, обработки, хранения и использования персональных данных в соответствие общему уровню технологического развития и контексту взаимодействия граждан с местными организациями. В частности, правительство Канады делает акцент на том, как последним следует разъяснять причины сбора данных и степень их «мобильности» — например, предупреждать о трансграничной передаче и предоставлять возможность безопасного трансфера из одной организации в другую по запросу.

Главное, что выделяет «GDPR по-канадски», это — новые санкции для нарушителей регламента. Им придется выложить 3% годового дохода компании (с учетом заработка филиалов по всему миру) или 10 миллионов, по всей видимости, канадских долларов.

Но в случае крупной утечки, умышленного слива или нарушения правил деиндентификации данных, предусмотрен штраф до 5% / 25 миллионов соответственно.

Примечательные нюансы

Верхняя планка в пять процентов выбрана отнюдь не случайно — так канадские власти демонстрируют решительные намерения превзойти GDPR по всем параметрам. Размером санкций они не ограничиваются. Руководствуясь CPPA, организации будут обязаны по запросу предоставлять разъяснения относительно того, как работает их алгоритм или рекомендательная система, принимающая решения на основе персональных данных гражданина страны. Эксперты считают, что в этом плане (как и по штрафам) Канада может обойти европейских регуляторов.

Что касается деиндентификации — подразумевается ее полный запрет. За установление личности по предоставленным персональным данным предусмотрены санкции. Единственное исключение — тестирование в целях поддержания должного уровня безопасности (вероятно, некой системы, предупреждающей подобные попытки). Однако пока сложно сказать, как будут выполнять это требование условные соцсети, если человек решит указать действительные ФИО и возраст. Скорее всего, требование применят против злостных нарушителей — например, организаций, занимающихся восстановлением данных из множества серых баз для последующего спама аудитории с предложениями воспользоваться какой-либо услугой.

Unsplash / Liam Seskis
Unsplash / Liam Seskis

Что интересно, в CPPA учли и ситуации, когда не нужно получать согласие для сбора персональных данных. Допустим, сюда относят поддержание сетевой безопасности, плюс — все, что не подпадает под коммерческую деятельность и другие попытки оказать какое-либо влияние на принятие человеком тех или иных решений (например, о покупке).

Еще новый регламент разрешает организациям вводить собственные меры защиты персональных данных, которые могут превосходить по уровню требований то, что прописано в самом CPPA.

Чего стоит ожидать

Канадский вариант GDPR будут применять ко всем структурам, которые хоть как-то соприкасаются с данными граждан. Если крупные компании могут выделить двух-трех штатных специалистов на подготовку, поддержание в актуальном состоянии и проверку корпоративных политик по работе и обеспечению безопасности ПД, то для малого бизнеса этот процесс, по всей видимости, окажется затруднительным, учитывая, что CPPA требует еще и обучения сотрудников.

С другой стороны, регламент имеет вид рамочного документа. Большая часть формулировок — слишком общие, поэтому стоит ждать уточнений в формате дополнительных актов, поясняющих и регулирующих отдельные моменты из CPPA. Как показывает практика, в Канаде этот процесс может занять несколько лет, поэтому пока предприниматели могут выдохнуть, а правительство — подумать, как защитить интересы граждан без ущерба для бюджета небольших компаний.

Unsplash / ev
Unsplash / ev

Вообще говоря, локальные варианты GDPR были только началом. Сейчас многие страны начинают кампании с предложениями точечного регулирования сферы больших данных.

Так, в Великобритании набирает обороты так называемая «National Data Strategy» — стратегия, целью которой является развертывание «экономики данных». Правительство хочет понимать, где и как используют те или иные данные граждан, и пытается предложить универсальный механизм или даже стандарт для их анонимного учета, классификации и обработки на стороне компаний.

Скорее всего, разработка документа затянется на долгие годы, поэтому у других стран еще будет много возможностей, чтобы запустить собственные аналоги и такой инициативы (помимо GDPR).


Что еще почитать у нас в блоге:

  • В Китае ввели блокировку ESNI-соединений

  • Проект «Доступный интернет»: промежуточные итоги

  • Как SD-WAN и VNF помогут снизить расходы на корпоративную сеть

  • «Одной канарейки мало»: у VPN-сервисов все чаще запрашивают данные

  • Как развивается ситуация с возможным ограничением на end-to-end шифрование


Источник: https://habr.com/ru/company/vasexperts/blog/533860/


Интересные статьи

Интересные статьи

Эрик Реймонд — евангелист свободного ПО, сооснователь фонда Open Source Initiative, автор «закона Линуса» и книги «Собор и базар», своеобразной «священной книгой» свободного ПО. По ...
На работе я занимаюсь поддержкой пользователей и обслуживанием коробочной версии CRM Битрикс24, в том числе и написанием бизнес-процессов. Нужно отметить, что на самом деле я не «чист...
Один из ключевых сценариев работы в CRM это общение с клиентом в удобном для него канале. По почте, по телефону, по SMS или в мессенджере. Особенно выделяется WhatsApp — интеграцию с ...
Как быстро определить, что на отдельно взятый сайт забили, и им никто не занимается? Если в подвале главной страницы в копирайте стоит не текущий год, а старый, то именно в этом году опека над са...
Опубликованы данные о суммарном размере штрафов за нарушения регламента. / фото Bankenverband PD Кто опубликовал отчёт о размере штрафов Общему регламенту по защите данных исполнится год т...