5 стран с политикой конфиденциальности данных, аналогичной GDPR

GDPR и маркетинговые последствия ограничительного регулирования конфиденциальности данных часто рассматриваются как ограниченный резерв Европейского союза.

Однако это в некоторой степени заблуждение, поскольку законодательство, принятое в ЕС, касается защиты "данных, принадлежащих гражданам и резидентам ЕС", а не только защиты данных, которые остаются в пределах границ ЕС.

Действительно, в статье 3 подробно описана территориальная сфера действия GDPR, которая включает два ключевых случая, когда GDPR действует за пределами ЕС:

1. при предложении товаров и услуг гражданам и резидентам ЕС
2. при мониторинге онлайн-поведения граждан и резидентов ЕС.

Помимо этих исключений, в других странах мира также существует аналогичное, часто вдохновленное GDPR законодательство.

В каких других странах действует политика конфиденциальности, аналогичная GDPR?

1. Калифорния (да, мы знаем, это не страна)

Вероятно, самым обсуждаемым законом о конфиденциальности, похожим на GDPR, за пределами ЕС является Калифорнийский закон о конфиденциальности потребителей (CCPA).

Несмотря на то, что Калифорния - это штат, а не страна, популярность этого закона привела к тому, что ряд других штатов планируют введение аналогичной политики в 2022 году.

Действительно, в общей сложности 15 штатов либо подтвердили, что разработка подобного законопроекта запланирована на этот год, либо уже находятся в процессе разработки.

В число таких штатов входят Мэриленд, Флорида, Вашингтон и Миссисипи, а также несколько других штатов, которые, хотя и не взяли на себя обязательства по внедрению подобной политики в 2022 году, изучают возможность следования этому примеру.

2. Швеция (первый закон о конфиденциальности данных)

Конечно, Швеция является членом Европейского союза и, следовательно, подпадает под действие GDPR, но стоит вспомнить и первый в мире национальный закон о конфиденциальности данных.

Да, хотите верьте, хотите нет, но закон о конфиденциальности данных в цифровую эпоху сам приближается к своему 50-летию.

Наряду с немцами, шведы сыграли ключевую роль в раннем законотворчестве в области конфиденциальности данных. В частности, в 1973 году был принят первый национальный закон о конфиденциальности данных - Закон о данных.

Разработанный с целью "криминализации кражи данных и предоставления субъектам данных свободы доступа к своим записям", Закон о данных был принят в 1969 году в результате цифровой обработки данных переписи населения.

Сочетание раннего внедрения в Швеции компьютеров в государственных учреждениях и культуры, основанной на прозрачности и открытости, проложило путь к принятию закона.

3. Канада и PIPEDA

Канадский закон о защите личной информации и электронных документов (PIPEDA) часто считается законом о конфиденциальности данных, наиболее близким к GDPR.

На самом деле, при разработке этого закона частично руководствовались стремлением умиротворить политиков ЕС и облегчить передачу данных между Канадой и ЕС.

Несмотря на сходство с GDPR, существует несколько ключевых отличий, некоторые из которых, как считается, являются причиной ограничения международной привлекательности PIPEDA.

Эти различия касаются семи основных областей:

1. Критерии применимости
2. Экстерриториальность
3. Согласие на обработку данных
4. Право на забвение
5. Переносимость данных
6. Уведомления о нарушении данных
7. Штрафы

Что касается последнего пункта, то размер штрафов, связанных с нарушениями GDPR, стал почти легендарным и послужил ключевым катализатором для создания программных решений, соответствующих GDPR, и консультационных компаний по обработке данных.

Существует огромная пропасть между штрафами, которые могут быть наложены в рамках GDPR - до 20 миллионов евро или 4% годового мирового оборота - и штрафами PIPEDA, которые ограничены 100 000 канадских долларов (около 70 000 евро).

В основе PIPEDA лежат 10 принципов честной информации:

1. Подотчетность
2. Определение целей, для которых собираются персональные данные
3. согласие частных лиц на сбор, использование или раскрытие личной информации
4. ограничение сбора данных только тем, что необходимо для целей, определенных организацией
5. Ограничение использования, раскрытия и хранения данных.
6. Точность личной информации
7. Защита личной информации от потери или кражи, несанкционированного доступа и т.д.
8. Открытость в отношении политики и практики, связанной с управлением персональными данными
9. Индивидуальный доступ по запросу
10. Оспаривание соблюдения принципов PIPEDA

4. Израиль

Если рассматривать Ближний Восток и Африку в целом, то здесь есть несколько различных стран и регионов, в которых приняты законы о конфиденциальности данных.

Израильские правила защиты данных считаются наиболее согласованными с GDPR, несмотря на то, что они содержат ряд особенностей - например, правила в отношении паролей и тестирования на проникновение (или перьевого тестирования), - отсутствующих в законе ЕС.

Несмотря на это, законы Израиля о защите данных признаны Европейской комиссией (ЕК) адекватными, что позволяет обрабатывать данные резидентов ЕС.

Это ставит страну в один ряд с 13 другими "третьими странами" с подтвержденным ЕК уровнем защиты данных. Среди них Новая Зеландия, Канада (как уже упоминалось выше), Южная Корея и Великобритания.

За последние годы в эти законы было внесено несколько изменений, а в январе 2022 года был опубликован новый законопроект, направленный на приведение несколько архаичного Закона о защите частной жизни в соответствие с цифровой эпохой.

Помимо Израиля, к странам Ближнего Востока, где в той или иной форме действует национальный закон о защите частной жизни, относятся Бахрейн, Катар и Турция, причем последний закон в значительной степени основан на версии GDPR, существовавшей до 2018 года.

5. Кения (и Африканский союз)

Африканский союз (АС) принял Конвенцию о кибербезопасности и защите персональных данных, подобную GDPR, в 2014 году с намерением заставить отдельные страны АС принять национальные законы о конфиденциальности.

Несмотря на это, инициатива продвигается довольно медленно: только пять стран последовали ее примеру, разработав и приняв собственные законы о конфиденциальности.

Среди них - кенийский Закон о защите данных, который вступил в силу в 2019 году и за прошедшее время был усовершенствован и дополнен.

Во время принятия закона Джо Мучеру, министр информации, технологий и связи Кении, заявил: "Кения присоединилась к мировому сообществу с точки зрения стандартов защиты данных".

Среди других африканских стран, принявших закон о конфиденциальности данных в той или иной форме, - Нигерия, Маврикий, ЮАР и Уганда.

Другие национальные законы о конфиденциальности данных и что ждет нас впереди

Помимо этих пяти примеров, есть еще несколько стран, которые приняли законы о конфиденциальности данных, аналогичные GDPR.

Как упоминалось ранее в статье, в общей сложности 14 третьих стран имеют стандарты, признанные совместимыми и соответствующими GDPR.

Помимо упомянутых ранее, в число других стран, где действуют аналогичные законы о конфиденциальности данных, входят Япония, Бразилия, Уругвай, Швейцария, Андорра, Фарерские острова, Гернси, остров Мэн, Джерси и Аргентина.

Поскольку тема защиты цифровых данных и конфиденциальности становится все более глобальной и широко обсуждаемой, вполне вероятно, что еще больше стран будут вынуждены принять или усовершенствовать подобные законы в ближайшее время.