Otázky ochrany osobních údajů a odpovídající předpisy jsou jedny z největších výzev, kterým dnes společnosti čelí. Zatímco společnosti postižené GDPR pocítili počáteční vlnu pokut, požadavků a norem, soukromí je nyní mezinárodním problémem.
USA již začaly směřovat k revoluční regulaci soukromí. Díky zákonům schváleným v Kalifornii a Nevadě a plánovaným zákonům v mnoha dalších státech by společnosti měly očekávat, že budou ovlivněny v nadcházejících měsících.
Tento článek rozebírá klíčové části zákona/návrhu zákona o ochraně soukromí každého státu – včetně toho, na koho se vztahují, kdy vstoupí v platnost, sankce, jak dosáhnout souladu a proč státy podnikly kroky před federální vládou na ochranu osobních údajů spotřebitele data.
Kalifornský zákon o ochraně soukromí spotřebitelů
Jako jeden z prvních zákonů o ochraně osobních údajů přijatých po GDPR CCPA působí jako plán pro další účty v USA. S účinností od 1. ledna 2020 se CCPA vztahuje na firmu, která shromažďuje/zpracovává osobní údaje obyvatel Kalifornie nebo podniká v Kalifornii. Tyto podniky podléhají zákonu CCPA, pokud:
- Překročit hrubý příjem 25 milionů dolarů
- Nakupujte, přijímejte, prodávejte nebo sdílejte (kombinovaný celkový počet) osobní údaje 50 000 nebo více domácností nebo zařízení spotřebitelů
- Získejte 50 % nebo více ročních příjmů z prodeje osobních údajů spotřebitelů
CCPA uděluje spotřebitelům práva podobná GDPR, včetně zveřejnění osobních údajů a žádostí o osobní údaje. Podniky jsou povinny reagovat na ověřitelné požadavky spotřebitelů informacemi, jako jsou kategorie a údaje o osobních údajích, třetích stranách a kategoriích třetích stran, se kterými jsou údaje sdíleny, a více.
Sekce, známá jako požadavky subjektu údajů (DSR), poskytuje uživatelům přístup k možnostem odstranění jejich osobních údajů. Zákon CCPA také vyžaduje, aby firmy na své domovské stránce zobrazovaly odkaz „Neprodávejte mé osobní údaje“. CCPA bude vymáhat generální prokurátor a zahrnuje pokuty až do výše 7 500 USD za každé jednotlivé porušení.
Nevadský zákon na ochranu soukromí
Nevadský zákon na ochranu soukromí byl podepsán 29. května 2019 a vstoupil v platnost 1. října 2019, tři měsíce před známějším zákonem CCPA. Zákony jsou velmi podobné, ale mají velký rozdíl v tom, jak je „prodej“ definován. Nevadské právo je užší, nepokrývá všechny poskytovatele služeb a je mírnější k finančním institucím. Podle InfoLawGroup jsou zákony CCPA a Nevady podobné v tom, že oba vyžadují, aby „podniky vymyslely proces, který ověří legitimitu žádosti spotřebitele o odstoupení od smlouvy, a požadovat, aby podniky odpověděly na žádost do 60 dnů.“ Podobně jako v Kalifornii spočívá vymáhání v Nevadě na generálním prokurátorovi a zahrnuje pokuty až 5 000 USD za porušení.
New York’s Privacy Bill
V květnu 2019 senátor státu New York Kevin Thomas představil jeden z nejrevolučnějších zákonů v oblasti ochrany osobních údajů. Požadavky byly standardní a zahrnovaly možnost obyvatel přistupovat ke svým osobním údajům, opravovat je, mazat a uchovávat je před třetími stranami.
Byla však přidána rozsáhlejší ustanovení, jako jsou povinnosti vůči správcům údajů a právo rezidentů podat žalobu na společnosti, pokud jsou poškozeni z důvodu porušení. Toto soukromé právo jednat je jedním z největších oddělovacích bodů od ostatních předpisů a mohlo by spotřebitele motivovat, aby šli po společnostech, které nedodržují předpisy. Návrh zákona je také širší než CCPA a vztahuje se na jakoukoli společnost, která vlastní „citlivá data obyvatel New Yorku“, bez požadavku na příjmy pro zahrnuté subjekty.
Se zákony přijatými ve dvou státech, návrhy zákonů v jiných a devíti státy, které přijaly nové zákony o oznamování narušení dat, jsme my svědky začátku masivního posunu směrem k ochraně údajů spotřebitelů a odpovědnosti za podniky, které kontrolují a řídí zpracovat to.
Pro udržení souladu si podniky musí být vědomy současných zákonů, budoucích předpisů a potenciálu různých standardů v USA. Vytváření procesů pro manipulaci s daty, přenositelnost dat a mapování a ovládací prvky pro přihlášení uživatele jsou některé z nezbytných postupů pro podniky, které shromažďují osobní údaje.