Personvernspørsmål og tilsvarende reguleringer er noen av de største utfordringene bedrifter står overfor i dag. Mens selskaper berørt av GDPR har følt den første bølgen av bøter, krav og standarder, er personvern nå et internasjonalt spørsmål.
USA har allerede begynt å bevege seg mot revolusjonerende personvernregulering. Med lover vedtatt i California og Nevada og lovforslag planlagt i mange andre stater, bør selskaper forvente å bli påvirket i løpet av de kommende månedene.
Denne artikkelen bryter ned de avgjørende delene av hver stats lov/lov om personvernregulering – inkludert hvem de dekker, når de trer i kraft, straffer, hvordan man oppnår samsvar samt hvorfor stater tok skritt før den føderale regjeringen for å beskytte forbrukerens personlige data.
California Consumer Privacy Act
Som en av de første personvernlovene som ble vedtatt etter GDPR, CCPA fungerer som blåkopi for andre regninger i USA. Med virkning fra 1. januar 2020 gjelder CCPA for en virksomhet som samler inn/behandler personopplysninger til innbyggere i California eller driver virksomhet i California. Disse virksomhetene er underlagt CCPA hvis de enten:
- Overstige en bruttoinntekt på 25 millioner dollar
- Kjøp, motta, selg eller del (kombinert totalt) personlig informasjon om 50 000 eller flere forbrukerhusholdninger eller enheter
- Få 50 % eller mer av den årlige inntekten ved å selge forbrukerens personopplysninger
CCPA gir rettigheter til forbrukere som ligner på GDPR, inkludert utlevering av personlig informasjon og forespørsler om personopplysninger. Bedrifter er pålagt å svare på verifiserbare forbrukerforespørsler med informasjon, for eksempel kategorier og data av personlig informasjon, tredjeparter og kategorier av tredjeparter som data deles med, og mer.
Seksjonen, kjent som Data Subject Requests (DSR) gir brukere tilgang til slettingsalternativer for deres personlige opplysninger. CCPA krever også at bedrifter viser en "Ikke selg min personlige informasjon"-kobling på hjemmesiden deres. CCPA vil bli håndhevet av statsadvokaten og inkluderer bøter på opptil $7 500 for hvert enkelt brudd.
Nevadas personvernlov
Nevadas personvernlov ble signert 29. mai 2019, og ble iverksatt 1. oktober 2019, tre måneder før den bedre kjente CCPA. Lovene er veldig like, men har en stor forskjell i hvordan "salg" defineres. Nevadas lov er smalere, dekker ikke alle tjenesteleverandører og er mer skånsom overfor finansinstitusjoner. I følge InfoLawGroup er CCPA- og Nevada-loven like ved at begge krever at "bedrifter kommer opp med en prosess for å verifisere legitimiteten til en forbrukerforespørsel om bortvalg og krever at virksomheter svarer på forespørselen innen 60 dager.» I likhet med California, ligger Nevadas håndhevelse hos statsadvokaten og inkluderer bøter på opptil $5 000 pr. brudd.
New Yorks personvernlov
I mai 2019 introduserte senator Kevin Thomas i delstaten New York en av de mest revolusjonerende lovforslagene innen personvern. Kravene var standard og inkluderte muligheten for innbyggere til å få tilgang til, korrigere, slette og beholde sine personlige data fra tredjeparter.
Imidlertid ble det lagt til mer omfattende bestemmelser, som forpliktelser overfor dataforvaltere og rett for innbyggere til å reise søksmål mot selskaper hvis de blir skadet på grunn av et brudd. Denne private søksmålsretten er et av de største skillepunktene fra andre regelverk og kan motivere forbrukere til å gå etter selskaper som mangler samsvar. Lovforslaget er også bredere enn CCPA, og dekker ethvert selskap som har «sensitive data til innbyggere i New York», uten inntektskrav for dekkede enheter.
Med lover vedtatt i to stater, lovforslag foreslått i andre og ni stater som vedtar nye lover om varsling av datainnbrudd, er vi være vitne til begynnelsen av et massivt skifte mot beskyttelse av forbrukerdata og ansvarlighet for virksomheter som kontrollerer og behandle det.
For å opprettholde overholdelse, må bedrifter være klar over gjeldende lover, fremtidige forskrifter på gang, og potensialet for forskjellige standarder over hele USA. Å lage prosesser for datahåndtering, dataportabilitet og kartlegging, og brukerkontroller er noen av de nødvendige praksisene for virksomheter som samler inn personopplysninger.