Разбирательство Федерального суда Австралии против компании Australian Clinical Labs Limited (ACL) является важной вехой в развитии законодательства о конфиденциальности в Австралии.
Недавние крупные утечки данных затронули миллионы австралийцев, раскрывая их конфиденциальную личную информацию, что, в свою очередь, подвергло их риску мошенничества с личными данными и мошенничества. Это заставило вновь обратить внимание на усиление соблюдения Закона о конфиденциальности 1988 года (Cth) (Закон о конфиденциальности).
Благодаря недавно предоставленным регулирующим полномочиям, ужесточению штрафов и дополнительному финансированию комиссар переходит на активную позицию.
Комиссар утверждает, что ACL противоречит разделу 13G Закона о конфиденциальности. Раздел 13G предусматривает гражданское наказание, если организация или государственное учреждение, на которое распространяется действие Закона о конфиденциальности, занимается деятельностью, которая серьезно вмешивается в частную жизнь человека. Комиссар утверждает, что с мая 2021 года по сентябрь 2022 года ACL серьезно вмешивалась в конфиденциальность своих клиентов, не приняв разумных мер для защиты их личной информации от несанкционированного доступа или раскрытия.
ACL собирает и хранит медицинскую информацию миллионов австралийцев для проведения тестов в рамках своего патологоанатомического бизнеса. Личная информация включает контактные данные, копии карточек и номеров Medicare. Комиссар провел расследование практики ACL по обеспечению конфиденциальности после утечки данных в феврале 2022 года, о которой ACL уведомила Управление комиссара по информации Австралии (OAIC) в июле 2022 года.
В отчете правительства Австралии о пересмотре Закона о конфиденциальности подчеркивается редкость случаев, связанных с разделом 13G. Он указал на отсутствие судебного рассмотрения раздела 13G и трудности с определением того, когда был нарушен порог «серьезного вмешательства».
Комиссар только один раз принимал меры по гражданско-правовым взысканиям (против Facebook Inc), и это первое судебное разбирательство в контексте обвинений в утечке данных.
Однако в настоящее время комиссар расследует громкие утечки данных, касающиеся Optus, Medibank Private и Latitude Financial.
Текущее разбирательство против ACL рассматривается многими как тестовый пример в отношении интерпретации законодательства и применяемых стандартов. Организациям следует внимательно следить за любым судебным рассмотрением разумных мер по защите личной информации от несанкционированного доступа.
Учитывая, что максимальный штраф за нарушение раздела 13G, применимый в данном случае, составляет 2 220 000 долларов США за каждое нарушение (в зависимости от режима наказания, действовавшего на момент предполагаемого поведения), к этому вопросу нельзя относиться легкомысленно.
Вероятно, в будущем мы увидим большую активность в этой сфере, что отражает существенное увеличение максимальных штрафов, которые начались в декабре 2022 года в соответствии с Законом о поправках к законодательству о конфиденциальности (принудительные и другие меры) 2022 (Cth) (Закон о защите конфиденциальности).
В соответствии с Законом о защите конфиденциальности, штраф за серьезное или неоднократное нарушение конфиденциальности со стороны юридического лица был увеличен до 50 миллионов долларов США или трехкратной суммы любой выгоды, полученной в результате нарушения. Если стоимость полученной выгоды не может быть определена, налагается штраф в размере 30 процентов от внутреннего оборота компании в «период нарушения оборота», например, 12 месяцев с начала месяца, в котором произошло правонарушение, или продолжительности периода нарушения оборота. правонарушение, в зависимости от того, какое из них длится дольше, может быть наложено.
Закон о защите конфиденциальности также внес реформы в схему уведомляемого нарушения данных, чтобы предоставить комиссару новые полномочия по получению информации в отношении фактического или предполагаемого нарушения данных, а также расширить полномочия комиссара по оценке соблюдения организацией Закона о конфиденциальности, включив в него уведомление. допустимых нарушений и требуют от организаций указывать виды информации, связанные с допустимым нарушением данных.
Укрепление соблюдения Закона о конфиденциальности является одним из пяти ключевых направлений, определенных в ответе правительства Австралии на пересмотр Закона о конфиденциальности, опубликованном в сентябре 2023 года. В ответе одобряются предлагаемые реформы, направленные на расширение полномочий комиссара и набора нормативных инструментов. Это предполагает введение многоуровневой структуры положений о гражданских наказаниях и расширение объема постановлений, которые суд может вынести в ходе разбирательства о гражданских наказаниях.
Согласившись с необходимостью стратегического организационного обзора со стороны OAIC, австралийское правительство работает над тем, чтобы его структура была более ориентирована на правоприменение, что будет включать рассмотрение его потребностей в ресурсах.
В дальнейшем мы можем ожидать, что комиссар будет использовать весь спектр своих новых полномочий для повышения эффективности австралийского регулятора конфиденциальности.
Проактивные изменения, внесенные сейчас, помогут снизить затраты на обновление системы, когда новые изменения будут законодательно закреплены.
Ответ правительства дает четкий сигнал бизнесу, указывая, что, хотя закон о введении этих изменений еще не разработан, ожидается, что он появится в ближайшем будущем.
Это важно, поскольку многие изменения повлияют на то, как организации структурируют себя, а также на то, как существующие ИТ-системы и каналы управления информацией организованы внутри предприятий. Предприятия должны учитывать время, необходимое для изменения и обновления систем. Предприятиям рекомендуется использовать это время для активной адаптации и обновления своих систем.
Элизабет Кэрролл – партнер холдинга Redlich
Отказ от ответственности
Информация в этой статье носит общий характер и не предназначена для рассмотрения обстоятельств какого-либо конкретного физического или юридического лица. Хотя мы стремимся предоставлять точную и своевременную информацию, мы не гарантируем, что информация в этой статье является точной на дату ее получения или что она останется точной в будущем.
Следите за нашими историями в LinkedIn, ТвиттерFacebook и Instagram.
2023-11-24 09:03:03
1700940228
#Обновленное #обязательство #по #защите #конфиденциальности #обеспечение #соблюдения #Закона #конфиденциальности