בעיות פרטיות נתונים והתקנות המתאימות הן מהאתגרים הגדולים ביותר איתם מתמודדות חברות כיום. בעוד חברות המושפעות מה GDPR הרגישו את הגל הראשוני של קנסות, דרישות ותקנים, הפרטיות היא כעת נושא בינלאומי.
ארה"ב כבר החלה להתקדם לעבר רגולציה מהפכנית בנושא פרטיות. עם חוקים שעברו בקליפורניה ובנבדה והצעות חוק מתוכננות במדינות רבות אחרות, חברות צריכות לצפות להיות מושפעות במהלך החודשים הקרובים.
מאמר זה מפרק את החלקים החיוניים של החוק/הצעת החוק להסדרת הפרטיות של כל מדינה - כולל מי הם מכסים, מתי הם נכנסים לתוקף, עונשים, כיצד להשיג ציות וכן מדוע מדינות נקטו בצעדים בפני הממשלה הפדרלית כדי להגן על האישיות של הצרכן נתונים.
חוק פרטיות הצרכן בקליפורניה
כאחד מחוקי הפרטיות הראשונים שעברו לאחר ה-GDPR, ה CCPA משמש כמתווה להצעות חוק אחרות בארה"ב. החל מ-1 בינואר 2020, ה-CCPA חל על עסק שאוסף/מעבד את הנתונים האישיים של תושבי קליפורניה או עושה עסקים בקליפורניה. עסקים אלה כפופים ל-CCPA אם הם:
- חורג מהכנסות ברוטו של 25 מיליון דולר
- קנייה, קבלה, מכירה או שיתוף (סה"כ כולל) מידע אישי של 50,000 או יותר משקי בית או מכשירים של צרכנים
- השג 50% או יותר מההכנסה השנתית ממכירת המידע האישי של הצרכן
ה-CCPA מעניק זכויות לצרכנים בדומה ל-GDPR, כולל חשיפת מידע אישי ובקשות למידע אישי. עסקים נדרשים להגיב לבקשות צרכנים הניתנות לאימות עם מידע, כגון קטגוריות ו נתונים של מידע אישי, צדדים שלישיים וקטגוריות של צדדים שלישיים שאיתם הנתונים משותפים, וכן יותר.
הסעיף, המכונה בקשות נושא נתונים (DSR) מעניק למשתמשים גישה לאפשרויות מחיקה של המידע האישי שלהם. כמו כן, ה-CCPA דורש מעסקים להציג קישור "אל תמכור את המידע האישי שלי" בדף הבית שלהם. ה-CCPA ייאכף על ידי התובע הכללי וכולל קנסות של עד 7,500 דולר עבור כל הפרה אינדיבידואלית.
חוק הפרטיות של נבאדה
חוק הפרטיות של נבאדה נחתם ב-29 במאי 2019, ובוצע ב-1 באוקטובר 2019, שלושה חודשים לפני ה-CCPA הידוע יותר. החוקים מאוד דומים אבל יש הבדל גדול באופן שבו "מכירה" מוגדרת. החוק של נבאדה צר יותר, אינו מכסה את כל ספקי השירותים ומקל יותר על מוסדות פיננסיים. לפי InfoLawGroup, החוק CCPA ו-Nvada דומים בכך ששניהם מחייבים "עסקים להמציא תהליך לאימות הלגיטימיות של בקשת צרכנים לביטול הסכמה. דורשים מבתי עסק להגיב לבקשה תוך 60 יום". בדומה לקליפורניה, האכיפה של נבאדה מוטלת על התובע הכללי וכוללת קנסות של עד 5,000 דולר לכל הֲפָרָה.
חוק הפרטיות של ניו יורק
במאי 2019, הסנאטור של מדינת ניו יורק קווין תומאס הציג את אחת מהצעות החוק המהפכניות ביותר בפרטיות נתונים. הדרישות היו סטנדרטיות וכללו את היכולת לתושבים לגשת, לתקן, למחוק ולשמור את הנתונים האישיים שלהם מצדדים שלישיים.
עם זאת, נוספו הוראות מרחיבות יותר, כמו חובות לנאמני מידע וזכות התושבים להגיש תביעה נגד חברות אם נפגעו עקב הפרה. זכות התביעה הפרטית הזו היא אחת מנקודות ההפרדה הגדולות מתקנות אחרות ועשויה לתמרץ צרכנים ללכת אחרי חברות חסרות ציות. הצעת החוק היא גם רחבה יותר מה-CCPA, ומכסה כל חברה שמחזיקה ב"נתונים הרגישים של תושבי ניו יורק", ללא דרישת הכנסה לגופים מכוסים.
עם חוקים שהתקבלו בשתי מדינות, הצעות חוק שהוצעו באחרות ותשע מדינות המעבירות חוקים חדשים להודעות על הפרת מידע, אנחנו עדים לתחילתו של שינוי מסיבי לעבר הגנה על נתוני צרכנים ואחריות לעסקים השולטים ו עבד את זה.
כדי לשמור על תאימות, עסקים חייבים להיות מודעים לחוקים הנוכחיים, לתקנות עתידיות בתהליך, ולפוטנציאל לתקנים שונים ברחבי ארה"ב. יצירת תהליכים לטיפול בנתונים, ניידות נתונים ומיפוי ובקרות הסכמה למשתמשים הם כמה מהשיטות הנחוצות לעסקים שאוספים נתונים אישיים.