Kwestie prywatności danych i odpowiadające im przepisy to jedne z największych wyzwań, przed którymi stoją dziś firmy. Podczas gdy firmy dotknięte RODO odczuliśmy początkową falę grzywien, wymogów i standardów, prywatność jest teraz kwestią międzynarodową.
Stany Zjednoczone już zaczęły zmierzać w kierunku rewolucyjnej regulacji prywatności. Ponieważ prawa uchwalone w Kalifornii i Nevadzie oraz rachunki planowane w wielu innych stanach, firmy powinny spodziewać się, że w ciągu najbliższych miesięcy będzie to miało wpływ.
W tym artykule omówiono kluczowe części przepisów prawa / ustawy o ochronie prywatności w każdym stanie — w tym, kogo dotyczą, kiedy wejdą w życie, kar, jak osiągnąć zgodność, a także dlaczego stany podjęły kroki przed rządem federalnym w celu ochrony dóbr osobistych konsumentów dane.
Kalifornijska ustawa o ochronie prywatności konsumentów
Jako jedno z pierwszych przepisów dotyczących prywatności uchwalonych po RODO, CCPA działa jako wzór dla innych rachunków w USA. Od 1 stycznia 2020 r. ustawa CCPA ma zastosowanie do firmy, która gromadzi/przetwarza dane osobowe mieszkańców Kalifornii lub prowadzi działalność w Kalifornii. Firmy te podlegają CCPA, jeśli:
- Przekrocz przychód brutto w wysokości 25 milionów USD
- Kupuj, odbieraj, sprzedawaj lub udostępniaj (łącznie) dane osobowe co najmniej 50 000 gospodarstw domowych lub urządzeń konsumentów
- Uzyskaj 50% lub więcej rocznych przychodów ze sprzedaży danych osobowych konsumenta
CCPA przyznaje konsumentom prawa podobne do RODO, w tym ujawnianie danych osobowych i żądania danych osobowych. Firmy są zobowiązane do odpowiadania na możliwe do zweryfikowania żądania konsumentów za pomocą informacji, takich jak kategorie i dane danych osobowych, strony trzecie i kategorie stron trzecich, którym dane są udostępniane, oraz jeszcze.
Sekcja, znana jako Żądania podmiotu danych (DSR), zapewnia użytkownikom dostęp do opcji usuwania ich danych osobowych. Ustawa CCPA wymaga również, aby firmy wyświetlały na swojej stronie głównej link „Nie sprzedawaj moich danych osobowych”. CCPA będzie egzekwowane przez Prokuratora Generalnego i obejmuje grzywny do 7500 USD za każde naruszenie.
Prawo prywatności Nevady
Prawo Nevady dotyczące prywatności zostało podpisane 29 maja 2019 r. i weszło w życie 1 października 2019 r., trzy miesiące przed bardziej znanym CCPA. Przepisy są bardzo podobne, ale mają zasadniczą różnicę w definicji „sprzedaży”. Prawo Nevady jest węższe, nie obejmuje wszystkich dostawców usług i jest bardziej pobłażliwe dla instytucji finansowych. Według InfoLawGroup, przepisy CCPA i Nevada są podobne pod tym względem, że obie wymagają „od firm opracowania procesu weryfikacji zasadności wniosku konsumenta o rezygnację i wymagać od firm odpowiedzi na żądanie w ciągu 60 dni.” Podobnie jak w Kalifornii, egzekwowanie w Nevadzie spoczywa na Prokuratorze Generalnym i obejmuje grzywny w wysokości do 5000 USD za naruszenie.
Nowojorska ustawa o ochronie prywatności
W maju 2019 r. senator stanu Nowy Jork Kevin Thomas przedstawił jeden z najbardziej rewolucyjnych projektów ustaw dotyczących prywatności danych. Wymogi były standardowe i obejmowały możliwość dostępu, poprawiania, usuwania i przechowywania ich danych osobowych przed osobami trzecimi.
Dodano jednak bardziej rozbudowane przepisy, takie jak obowiązki powierników danych oraz prawo mieszkańców do wniesienia pozwu przeciwko spółkom, jeśli zostaną poszkodowane z powodu naruszenia. To prywatne prawo do działania jest jednym z największych punktów oddzielających od innych przepisów i może zachęcać konsumentów do szukania firm, które nie przestrzegają przepisów. Ustawa jest również szersza niż CCPA, obejmując każdą firmę, która przechowuje „wrażliwe dane mieszkańców Nowego Jorku”, bez wymogu przychodów dla objętych nim podmiotów.
Dzięki ustawom uchwalonym w dwóch stanach, ustawom zaproponowanym w innych i dziewięciu stanom uchwalającym nowe przepisy dotyczące powiadamiania o naruszeniu danych, jesteśmy jesteśmy świadkami początku masowej zmiany w kierunku ochrony danych konsumenckich i odpowiedzialności firm, które kontrolują i przetworzyć to.
Aby zachować zgodność, firmy muszą być świadome aktualnych przepisów, przyszłych regulacji oraz możliwości wprowadzenia różnych standardów w Stanach Zjednoczonych. Tworzenie procesów obsługi danych, przenoszenia danych i mapowania oraz kontroli zgody użytkownika to tylko niektóre z niezbędnych praktyk dla firm, które zbierają dane osobowe.