Problémy ochrany osobných údajov a príslušné nariadenia sú jedny z najväčších výziev, ktorým spoločnosti v súčasnosti čelia. Zatiaľ čo spoločnosti ovplyvnené GDPR pocítili počiatočnú vlnu pokút, požiadaviek a noriem, súkromie je teraz medzinárodnou záležitosťou.
USA už začali smerovať k revolučnej regulácii súkromia. So zákonmi prijatými v Kalifornii a Nevade a návrhmi zákonov v mnohých ďalších štátoch by spoločnosti mali očakávať, že budú ovplyvnené v najbližších mesiacoch.
Tento článok rozoberá kľúčové časti zákona/účtu o regulácii súkromia každého štátu – vrátane toho, na koho sa vzťahujú, kedy nadobudnú účinnosť, sankcie, ako dosiahnuť súlad, ako aj prečo štáty podnikli kroky pred federálnou vládou na ochranu osobných údajov spotrebiteľov údajov.
Kalifornský zákon o ochrane súkromia spotrebiteľov
Ako jeden z prvých zákonov o ochrane osobných údajov prijatých po GDPR, CCPA pôsobí ako plán pre ďalšie účty v USA. S účinnosťou od 1. januára 2020 sa CCPA vzťahuje na firmu, ktorá zhromažďuje/spracúva osobné údaje obyvateľov Kalifornie alebo podniká v Kalifornii. Tieto podniky podliehajú zákonu CCPA, ak:
- Prekročiť hrubý príjem 25 miliónov dolárov
- Nakupujte, prijímajte, predávajte alebo zdieľajte (spolu) osobné informácie 50 000 alebo viacerých domácností alebo zariadení spotrebiteľov
- Získajte 50 % alebo viac ročného príjmu z predaja osobných údajov spotrebiteľa
CCPA udeľuje spotrebiteľom práva podobné GDPR, vrátane sprístupnenia osobných údajov a žiadostí o osobné údaje. Od podnikov sa vyžaduje, aby na overiteľné požiadavky spotrebiteľov odpovedali informáciami, ako sú kategórie a údaje o osobných údajoch, tretích stranách a kategóriách tretích strán, s ktorými sú údaje zdieľané, a viac.
Sekcia známa ako Požiadavky dotknutých osôb (DSR) poskytuje používateľom prístup k možnostiam vymazania ich osobných údajov. Zákon CCPA tiež vyžaduje, aby firmy zobrazovali na svojej domovskej stránke odkaz „Nepredávajte moje osobné údaje“. CCPA bude presadzovať generálny prokurátor a zahŕňa pokuty až do výšky 7 500 USD za každé jednotlivé porušenie.
Nevadský zákon o ochrane osobných údajov
Nevadský zákon o ochrane osobných údajov bol podpísaný 29. mája 2019 a vstúpil do platnosti 1. októbra 2019, tri mesiace pred známejším zákonom CCPA. Zákony sú veľmi podobné, ale majú veľký rozdiel v tom, ako je definovaný „predaj“. Nevadské právo je užšie, nepokrýva všetkých poskytovateľov služieb a je zhovievavejšie k finančným inštitúciám. Podľa InfoLawGroup sú CCPA a Nevadský zákon podobné v tom, že oba vyžadujú „podniky, aby prišli s procesom na overenie oprávnenosti spotrebiteľskej žiadosti o odstúpenie od zmluvy a požadovať, aby podniky odpovedali na žiadosť do 60 dní.“ Podobne ako v Kalifornii, vymáhanie v Nevade spočíva na generálnom prokurátorovi a zahŕňa pokuty až do výšky 5 000 USD za porušenie.
Newyorský zákon o ochrane osobných údajov
V máji 2019 senátor štátu New York Kevin Thomas predstavil jeden z najrevolučnejších zákonov v oblasti ochrany osobných údajov. Požiadavky boli štandardné a zahŕňali možnosť obyvateľov pristupovať k svojim osobným údajom, opravovať ich, mazať a uchovávať ich pred tretími stranami.
Pridali sa však rozsiahlejšie ustanovenia, ako napríklad povinnosti voči správcom údajov a právo obyvateľov podať žalobu na spoločnosti, ak sú poškodení z dôvodu porušenia. Toto súkromné právo konať je jedným z najväčších oddelení od iných nariadení a mohlo by podnietiť spotrebiteľov, aby šli po spoločnostiach, ktoré nedodržiavajú predpisy. Návrh zákona je tiež širší ako CCPA a vzťahuje sa na každú spoločnosť, ktorá vlastní „citlivé údaje obyvateľov New Yorku“, bez požiadavky na príjmy pre zahrnuté subjekty.
So zákonmi prijatými v dvoch štátoch, návrhmi zákonov v iných a deviatimi štátmi, ktoré prijali nové zákony o oznamovaní narušenia údajov, sme my svedkami začiatku masívneho posunu smerom k ochrane spotrebiteľských údajov a zodpovednosti za podniky, ktoré kontrolujú a spracovať to.
Na udržanie súladu si podniky musia byť vedomé súčasných zákonov, budúcich predpisov a potenciálu rôznych noriem v USA. Vytváranie procesov na manipuláciu s údajmi, prenosnosť údajov a mapovanie a ovládacie prvky na prihlásenie používateľa sú niektoré z nevyhnutných postupov pre podniky, ktoré zhromažďujú osobné údaje.