Повернутися у блог

Privacy-2022: тенденції та прогнози

До Дня захисту персональних даних Катерина Міщенко написала статтю для блогу Avitar на Medium. У статті – обмін знаннями експертів з різних країн (в основному, з Британії): глобальні тенденції та очікування в галузі приватності на 2022 рік.

“Основним джерелом інформації, крім матеріалів IAPP та самих законів, були knowledge-share meetups (від того ж IAPP): різні країни, міста все відбувається не під запис . Одна з основних цінностей будь-якого заходу – це люди. І добре, коли ці люди хочуть ділитися своїм баченням і своїми знаннями. Сама послухала і розповім вам.

Цей огляд поділено на п'ять частин і поєднує як думку моїх британських колег, так і мої висновки.

Європа

У Європі все передбачувано стабільно, GDPR набирає обертів. Попередньо на 22-й рік на нас чекає:

  • Посилення GDPR

Розмір та частота штрафів за відповідність GDPR підвищуються з 2021 року. Очікується, що у 2022 році темпи зростання зростатимуть, оскільки органи регулювання розширюють свою увагу до приватності.

За заявою CNIL їм достатньо одного (!) французького користувача, щоб втрутитися та розпочати своє розслідування.

Як приватна особа, я в захваті, а ось як ДПВ – трохи напружена. Все ж таки CNIL зараз один з найактивніших регулюючих органів.

  • Законодавство та регулювання щодо даних

Продовжить розвиватися держ. регулювання питань захисту даних. Особисто я, окрім низки законодавчих актів ЄС (Брюссель) чекаю на секторальні зміни: банки, нерухомість. З відомих нововведень ми чекаємо:

  • Закон про цифрові послуги,
  • Закон про цифрові ринки,
  • Закон про управління даними,
  • e-Privacy Directive знову на столі, як улюблена пісня на повторі,
  • та NIC II.

На думку моїх британських колег, Закон про ІІ та Закон про дані вплинуть на загальну картину. Я ж чекаю на роз'яснення щодо металісових і нових вступних у сфері IoT.

Cookie файли: гаманець чи життя?

У січні 2022 року CNIL опублікував перший штраф за використання файлів cookie проти Google та Facebook.

З практичних нотаток: cookie-банер це перше, що бачить користувач (ну, або регулятор). Куди раніше ніж наявність та якість Повідомлення на сайті. Тому на користь бізнесу поставити собі банер, який відповідає вимогам. Досить цікаво, що у цьому питанні виникає більшість труднощів: конверсія, ліди, конкуренти та інші 105 чинників як аргументів проти.

Тим часом бізнес все ще працює над тим, як буде виглядати майбутнє без файлів cookie. Від останньої версії інтернету без файлів cookie відмовилися, оскільки цього не переживе структура Інтернету та бізнесу в ньому, тому шукають альтернативи.

Трансфер даних

2021 рік був роком під девізом «сиди та оцінюй». Сьогодні вже можна побачити, як перші скарги Schrems II приймаються до розгляду.

Те, що настав 22-й рік, не означає, що оцінок стане менше. Думаю, що фокус зміщуватиметься з формальної оцінки на предметний її прояв: рекомендації, прописані додаткові контролі, оцінка аналогів вендорів.

Середній Схід

Ось уже з ким все дуже цікаво, але нічого не зрозуміло. Частково це обґрунтовано тим, що переважна більшість законів опубліковані арабською або однією з мов східної групи.

З того що відомо зараз:

Гравець номер 1: ОАЕ відкриває Data Office для підтримки нових законів/

На честь ювілею в ОАЕ була масштабна законодавча реформа, яку можна почитати тут.

Якщо ж коротко про головне: видано нові федеральні закони ОАЕ про захист даних, відкривається офіс, секторальні закони також прописали вимоги до захисту персональних даних.

Хоча новий закон і заснований на GDPR, є деякі суттєві відмінності:

  • закон найбільш орієнтований на згоду,
  • відсутня legitimate interest як основа для обробки (що повертає нас до концепції згоди),
  • нові вимоги щодо повідомлення про витік даних,
  • тенденція до локалізації даних на території ОАЕ (але потенційно це стосується всіх активів компанії, а не лише даних).

Найголовніше: попередня дата набуття чинності законом – середина березня. На імплементацію бізнесу було відведено шість місяців. Офіційного перекладу на англійську немає, чіткої дати немає, терміни не можна пробачити. Бажаю міцних нервів тим, хто працює на цьому ринку.

Що там із вільними зонами?

Вільні зони в ОАЕ та Катарі (DIFC, ADGM, QFC) також оновлюють закони про захист даних, щоб вони відповідали міжнародним стандартам захисту даних. Основний упор йде на GDPR та основні сертифікації ISO та SOC2.

Саудівська Аравія: новий закон KSA про захист персональних даних/

Ось тут починається найцікавіше. Новий Закон Королівства Саудівської Аравії про захист персональних даних було введено в дію Королівським указом та набуде чинності у березні 2022 року.

З нововведень:

  • заборона трансфер даних досі державної дозволу,
  • кримінальна відповідальність для консультантів щодо приватності.

Особиста думка: запровадження кримінальної відповідальності для спеціалістів приватності не покращить становище, а призведе до того, що знайти людину, яка погодиться консультувати або зайняти посаду стрімко падатиме. Хоча багато залежить від контексту.

Північна Америка

Питання на мільйон доларів: чи скоро буде ухвалено федеральний закон про приватність?

Малоймовірно, що закон США про приватність буде ухвалено 2022 року. Занадто складна процедура і поки що немає усталеної практики.

При цьому ми спостерігаємо за тим, як нові закони штатів, ймовірно, набудуть чинності разом із Каліфорнією, Вірджинією та Колорадо.

Що змінив ковід?

Судячи з аналітики, основна тема США щодо медичних даних це неправильне використання HIPPA. В основному це питання публікації даних, передачі та розкриття за запитами. Поки що не ясно, до чого це призведе з огляду на таку проактивну позицію населення.

Канада визначається з абревіатурою

Канада оновлює поточний закон PIPEDA. Новий СРРА – Consumer Privacy Protection Act, не лише додає нам нових абревіатур, а й моментів, які нам потрібно враховувати. Канада продовжує тенденцію Сходу на орієнтування на згоду.

Особиста думка: це досить дивно, оскільки більшість країн, навпаки, уникає цього і розвиває інші підстави для обробки, щоб залишити згоду саме такою, якою вона має бути: вільно даною, конкретною, поінформованою і недвозначною.

Тихоокеанський регіон

Перейдемо до тихоокеанського регіону. У цьому розділі, в основному, я перекажу думку інших фахівців, оскільки сама не працюю із цим регіоном.

Великі зміни у Китаї.

Спостерігаємо закономірності, що регулюють обробку пд: особлива увага до оцінки транскордонної передачі

Кажуть, що докладні правила доступні на стадії розробки і будуть опубліковані найближчим часом. Зацікавлена ​​як сторонній користувач з огляду на ситуацію контролю над персональними даними в Китаї.

Індійське законодавство теж не залишилося осторонь змін.

Коротко про тенденції:

  • Підвищення відповідності вимогам міжнародних стандартів
  • Підвищення контролю регулюючих органів

Singapore. Вимоги змінюються

Виняток із мого професійного невігластва в контексті цього регіону – це Сінгапур. З урахуванням технологічного бусту, який стався там під час практично безперервних локдаунів, Сінгапур дуже цікавий саме в розрізі хмарних технологій, health tech, аналітики та величезних, просто неймовірних за розмірами баз даних. Тому сюди сміливо можна додавати регуляції або, як мінімум, рекомендації по роботі з BigData.

Офіційні заяви про майбутнє звучать так: PDPC у 2022 році буде зосереджено на цифрових послугах, хмарних технологіях та штучному інтелекті.

Продовжується реалізація Закону Сінгапуру про захист даних із поправками від 21 року. Короткий огляд для тих, хто призабув (все звичайно в курсі):

  • введено поняття “deemed consent”

Передісторія: підприємства завжди були змушені брати згоду на будь-яку обробку даних. Правками ввели дві категорії умовної згоди: для контрактної необхідності і, якщо компанія проводить оцінку і розуміє, що обробка даних не зашкодить людині.

Тут передбачувана згода виникає, коли організація надсилає повідомлення і дає людині розумний час для відповіді та відхилення, у чому я дуже сумніваюся, що це відбувається. Цікаво, правда?

  • обов'язкова нотифікація регулюючого органу (Personal Data Protection Commission) для витоку даних,
  • нова кримінальна відповідальність (вау!)

Якщо ви некоректно обходитися з персональними даними, то вам випишуть штраф у розмірі 5000 сінгапурських доларів або засудять до тюремного ув'язнення на строк до двох років.

Це все? - можете запитати ви мене

Ні. Якщо ви випадково розкрили, використали та влаштували повторну ідентифікацію анонімних даних, це теж може призвести до кримінального покарання.

А якщо це повториться?Нічого доброго).

  • введено нові категорії злочинів для атак за словником та програмного забезпечення для збору адрес,
  • нове законне підґрунтя для масового скринінгу.

У сінгапурському Законі про боротьбу зі спамом буде переглянуто момент, щоб охоплювати популярні платформи обміну повідомленнями, такі як WhatsApp, щоб зупинити небажані повідомлення. Як це діятиме на даний момент мені незрозуміло. Але, судячи із загального враження, Сінгапур дедалі ближче підходить до Китаю.

Латинська Америка

І, нарешті, Латинська Америка. Найдивовижніший для мене регіон, який за два тижні збору інформації порадував мене найбільше.

Секретик: якщо вам корисно чи цікаво дізнатися про ринок Латам, ми можемо організувати вебінар з нашими партнерами з Бразилії.

GDPR по-бразильськи

Новиною, гідною повторення стало те, що Бразилія ухвалила власний закон про захист персональних даних – LGPD – майже нічим не поступається нашому коханому GDPR.

Більше того, люди досить обізнані про свої права. ЗМІ повідомляють про кілька випадків витоку даних після набуття чинності LGPD.

На що вплине висвітлення у ЗМІ таких кейсів? Громадська поінформованість увіличаться, а новий регулюючий орган буде налаштований на правозастосування.

Особиста думка: Загалом правозастосування у цій сфері йде дуже непогано. За відкритими даними в інтернеті, бразильська система захисту прав споживачів отримує позови, що підвищує рівень та кількість судових розглядів. У 2021 було 6000 позовів щодо приватності. Але багато позовів пов'язані з трудовими відносинами, де вимога щодо приватності вдруге. Багато позовів йдуть у small cases Court, де позивач не платитиме за витрати відповідача, навіть якщо він програє. Тому компанії завалюються позовами через дрібниці типу невідповідного запиту.

В ідеалі, далі на нас чекають судові процеси, пов'язані з приватністю, та групові ризики. Sounds like fun, isn’t it?

Загалом картина така, що з розвитком цифрових технологій захист даних у Латинській Америці тяжіє до стандартів GDPR.

Запитання next generation

Не знаю що у них там відбувається, але їхній регулятор судячи з усього явно сприяє інноваціям. У мережі досить велика кількість приємних новин, наприклад про позитивний досвід роботи з біткойнами в Ель-Сальвадорі, Барбадос, який відкрив перше посольство в Метавсесвіті.

Особиста думка: Бразилія випускає багато стартапів в останні кілька років, і з урахуванням LGPD мені здається, що регулювання ІІ – не за горами.

Що з іншими країнами в ЛатАм?

Ось кілька фактів:

  • У Перу у Конституції зазначено декларація про приватність.
  • Аргентина має pre-GDPR закон.
  • У Коста-Ріці закон, який також був написаний за подобою GDPR.
  • У Мексиці є федеральне та локальне законодавства щодо приватності.

На цьому все. На будь-які запитання чи коментарі я відповім у наступній статті.А поки що в наступній серії стислий огляд всього, що є в українському законодавстві в контексті персональних даних.

Повний текст статті: Medium

3.8.2022 12:40

Почнімо разом щось  абсолютно нове!

Звʼязатися з нами
Телефон
+380 (50) 356 74 94
Соціальні мережі
fin..Наш блог

Давайте обговоримо ваш проект

Ваш запит успішно відправлено
Помилка відправки запиту
Натискаючи “Дозволити все”, ви погоджуєтеся зберігати файли cookies на своєму пристрої для покращення навігації сайту, аналізу використання сайту та надання допомоги у наших маркетингових заходах.
Варіанти видів cookies

Відправити

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Дізнайтеся більше про cookies та передачу даних у нашій
Політиці файлів cookies.