Databeskyttelsesspørgsmål og tilsvarende reguleringer er nogle af de største udfordringer, som virksomheder står over for i dag. Mens virksomheder, der er berørt af GDPR har mærket den indledende bølge af bøder, krav og standarder, er privatlivets fred nu et internationalt spørgsmål.
USA er allerede begyndt at bevæge sig mod revolutionær privatlivsregulering. Med love vedtaget i Californien og Nevada og planlagte lovforslag i mange andre stater, bør virksomheder forvente at blive påvirket inden for de kommende måneder.
Denne artikel nedbryder de afgørende dele af hver stats lovgivning/lov om beskyttelse af privatlivets fred – herunder hvem de dækker, hvornår de træder i kraft, sanktioner, hvordan man opnår overholdelse, samt hvorfor stater tog skridtene før den føderale regering for at beskytte forbrugerens personlige data.
California Consumer Privacy Act
Som en af de første love om privatlivets fred, der blev vedtaget efter GDPR, CCPA fungerer som planen for andre regninger i USA. Med virkning fra den 1. januar 2020 gælder CCPA for en virksomhed, der indsamler/behandler californiske beboeres personlige data eller driver forretning i Californien. Disse virksomheder er underlagt CCPA, hvis de enten:
- Overstiger en bruttoindtægt på 25 millioner dollars
- Køb, modtag, sælg eller del (sammenlagt i alt) personlige oplysninger om 50.000 eller flere forbrugere, husstande eller enheder
- Få 50 % eller mere af den årlige omsætning ved at sælge forbrugerens personlige oplysninger
CCPA giver forbrugere rettigheder svarende til GDPR, herunder videregivelse af personlige oplysninger og anmodninger om personlige data. Virksomheder er forpligtet til at svare på verificerbare forbrugeranmodninger med oplysninger, såsom kategorier og data om personlige oplysninger, tredjeparter og kategorier af tredjeparter, som data deles med, og mere.
Sektionen, kendt som Data Subject Requests (DSR) giver brugere adgang til sletningsmuligheder for deres personlige oplysninger. CCPA kræver også, at virksomheder viser et "Sælg ikke mine personlige oplysninger"-link på deres hjemmeside. CCPA håndhæves af Attorney General og inkluderer bøder på op til $7.500 for hver individuel overtrædelse.
Nevadas privatlivslov
Nevadas privatlivslov blev underskrevet den 29. maj 2019 og blev effektueret den 1. oktober 2019, tre måneder før den bedre kendte CCPA. Lovene er meget ens, men har en stor forskel på, hvordan "salg" defineres. Nevadas lov er snævrere, dækker ikke alle tjenesteudbydere og er mere skånsom over for finansielle institutioner. Ifølge InfoLawGroup er CCPA- og Nevada-loven ens, idet begge kræver, at "virksomheder kommer med en proces for at verificere legitimiteten af en anmodning om fravalg af forbrugere og kræve, at virksomhederne svarer på anmodningen inden for 60 dage." I lighed med Californien ligger Nevadas håndhævelse hos Attorney General og inkluderer bøder på op til $5.000 pr. krænkelse.
New Yorks privatlivslov
I maj 2019 indførte New York State Senator Kevin Thomas et af de mest revolutionerende lovforslag inden for databeskyttelse. Kravene var standard og omfattede beboernes mulighed for at få adgang til, rette, slette og opbevare deres personlige data fra tredjeparter.
Der blev dog tilføjet mere ekspansive bestemmelser, såsom forpligtelser over for dataansvarlige og indbyggernes ret til at anlægge sag mod virksomheder, hvis de kommer til skade på grund af en krænkelse. Denne private søgsmålsret er et af de største adskillelsespunkter fra andre regler og kan tilskynde forbrugerne til at gå efter virksomheder, der mangler overholdelse. Lovforslaget er også bredere end CCPA, og dækker ethvert selskab, der har "følsomme data fra New York-beboere", uden indtægtskrav for omfattede enheder.
Med love vedtaget i to stater, lovforslag foreslået i andre og ni stater, der vedtager nye love om meddelelse om databrud, er vi vidne til begyndelsen på et massivt skift i retning af beskyttelse af forbrugerdata og ansvarlighed for virksomheder, der kontrollerer og behandle det.
For at opretholde overholdelse skal virksomheder være opmærksomme på gældende love, fremtidige regler på vej og potentialet for forskellige standarder i hele USA. Oprettelse af processer til datahåndtering, dataportabilitet og kortlægning og kontrol af brugertilvalg er nogle af de nødvendige fremgangsmåder for virksomheder, der indsamler personlige data.