Duomenų privatumo problemos ir atitinkami reglamentai yra vieni didžiausių iššūkių, su kuriais šiandien susiduria įmonės. Nors įmonės, paveiktos GDPR pajuto pradinę baudų, reikalavimų ir standartų bangą, privatumas dabar yra tarptautinė problema.
JAV jau pradėjo judėti revoliucinio privatumo reguliavimo link. Kalifornijoje ir Nevadoje priimti įstatymai ir daugelyje kitų valstijų planuojami įstatymai, įmonės turėtų tikėtis, kad tai bus paveikta per ateinančius mėnesius.
Šiame straipsnyje išskaidomos esminės kiekvienos valstijos privatumo reguliavimo įstatymo / įstatymo projekto dalys, įskaitant tai, kam jie taikomi, kada jie įsigalioja, nuobaudas, kaip pasiekti, kad būtų laikomasi reikalavimų, taip pat kodėl valstybės ėmėsi veiksmų prieš federalinę vyriausybę, siekdamos apsaugoti vartotojų asmeninius duomenis.
Kalifornijos vartotojų privatumo įstatymas
Kaip vienas pirmųjų privatumo įstatymų, priimtų po BDAR, CCPA veikia kaip kitų JAV sąskaitų planas. Nuo 2020 m. sausio 1 d. CCPA taikoma įmonei, kuri renka / tvarko Kalifornijos gyventojų asmens duomenis arba vykdo verslą Kalifornijoje. Šioms įmonėms taikomas CCPA, jei jos:
- Viršyti bendrąsias pajamas 25 mln
- Pirkite, gaukite, parduokite arba dalinkitės (iš viso) 50 000 ar daugiau vartotojų namų ūkių ar įrenginių asmenine informacija
- Gaukite 50% ar daugiau metinių pajamų pardavus asmeninę vartotojo informaciją
CCPA suteikia vartotojams teises, panašias į BDAR, įskaitant asmens informacijos atskleidimą ir asmens duomenų prašymus. Įmonės turi atsakyti į patikrinamas vartotojų užklausas, pateikdamos informaciją, pvz., kategorijas ir asmeninės informacijos duomenis, trečiąsias šalis ir trečiųjų šalių, su kuriomis dalijamasi duomenimis, kategorijas, ir daugiau.
Skyrius, žinomas kaip duomenų subjektų užklausos (DSR), suteikia vartotojams prieigą prie asmeninės informacijos ištrynimo parinkčių. Be to, CCPA reikalauja, kad įmonės savo pagrindiniame puslapyje pateiktų nuorodą „Neparduodu mano asmeninės informacijos“. CCPA vykdys generalinis prokuroras ir numato baudas iki 7500 USD už kiekvieną atskirą pažeidimą.
Nevados privatumo įstatymas
Nevados privatumo įstatymas buvo pasirašytas 2019 m. gegužės 29 d. ir įsigaliojo 2019 m. spalio 1 d., likus trims mėnesiams iki geriau žinomo CCPA. Įstatymai yra labai panašūs, tačiau labai skiriasi „pardavimo“ apibrėžimas. Nevados įstatymas yra siauresnis, neapima visų paslaugų teikėjų ir yra švelnesnis finansų institucijoms. „InfoLawGroup“ teigimu, CCPA ir Nevados įstatymai yra panašūs tuo, kad abu reikalauja, kad „verslas pasiūlytų procesą, kuriuo būtų patikrintas vartotojo atsisakymo prašymo teisėtumas ir reikalauti, kad įmonės į užklausą atsakytų per 60 dienų. Panašiai kaip Kalifornijoje, Nevados vykdymo užtikrinimas priklauso generaliniam prokurorui ir apima baudas iki 5000 USD už pažeidimas.
Niujorko privatumo įstatymas
2019 m. gegužę Niujorko valstijos senatorius Kevinas Thomasas pristatė vieną revoliucingiausių įstatymų dėl duomenų privatumo. Reikalavimai buvo standartiniai ir apėmė galimybę gyventojams prieiti, taisyti, ištrinti ir saugoti savo asmens duomenis nuo trečiųjų šalių.
Tačiau buvo įtrauktos platesnės nuostatos, pavyzdžiui, įsipareigojimai duomenų patikėtiniams ir gyventojų teisė pareikšti ieškinį įmonėms, jei dėl pažeidimo jos nukentėjo. Ši privati teisė pareikšti ieškinį yra vienas didžiausių atskyrimo nuo kitų reglamentų taškų ir gali paskatinti vartotojus ieškoti įmonių, kurios nesilaiko reikalavimų. Įstatymo projektas taip pat yra platesnis nei CCPA, apimantis bet kurią bendrovę, kuri turi „neskelbtinus Niujorko gyventojų duomenis“, o apimtiems subjektams nereikalaujama pajamų.
Dviejose valstijose priimti įstatymai, kitose pasiūlyti įstatymų projektai ir devyniose valstijose priimti nauji pranešimo apie duomenų pažeidimus įstatymai, liudija, kad prasidėjo didžiulis perėjimas prie vartotojų duomenų apsaugos ir įmonių, kurios kontroliuoja ir kontroliuoja, atskaitomybės apdoroti jį.
Siekdamos išlaikyti atitiktį, įmonės turi žinoti apie galiojančius įstatymus, būsimus darbų reglamentus ir galimus skirtingus standartus visoje JAV. Duomenų tvarkymo, duomenų perkeliamumo ir atvaizdavimo procesų kūrimas bei naudotojo pasirinkimo valdikliai yra keletas būtinų praktikos įmonių, renkančių asmens duomenis.