Vprašanja zasebnosti podatkov in ustrezni predpisi so nekateri največji izzivi, s katerimi se danes soočajo podjetja. Medtem ko podjetja, ki jih je prizadela GDPR so občutili začetni val glob, zahtev in standardov, je zasebnost zdaj mednarodno vprašanje.
ZDA so se že začele premikati proti revolucionarni ureditvi zasebnosti. Ker so zakoni, sprejeti v Kaliforniji in Nevadi, ter načrtovani računi v mnogih drugih državah, bi morali pričakovati, da bodo podjetja vplivala v prihodnjih mesecih.
Ta člen razčlenjuje ključne dele zakona/zakona o zasebnosti vsake države – vključno s tem, koga pokrivajo, ko začnejo veljati, kazni, kako doseči skladnost in zakaj so države sprejele ukrepe pred zvezno vlado za zaščito osebnih potrošnikov podatkov.
Kalifornijski zakon o zasebnosti potrošnikov
Kot eden prvih zakonov o zasebnosti, sprejetih po GDPR, CCPA deluje kot načrt za druge račune v ZDA. S 1. januarjem 2020 velja CCPA za podjetja, ki zbirajo/obdelujejo osebne podatke prebivalcev Kalifornije ali posluje v Kaliforniji. Za ta podjetja velja CCPA, če:
- Preseči bruto prihodek v višini 25 milijonov dolarjev
- Kupujte, prejemajte, prodajajte ali delite (skupaj skupaj) osebne podatke 50.000 ali več potrošniških gospodinjstev ali naprav
- Pridobite 50 % ali več letnega prihodka od prodaje osebnih podatkov potrošnika
CCPA podeljuje potrošnikom pravice, podobne GDPR, vključno z razkritjem osebnih podatkov in zahtevami za osebne podatke. Podjetja se morajo na preverljive zahteve potrošnikov odzvati z informacijami, kot so kategorije in podatke o osebnih podatkih, tretjih osebah in kategorijah tretjih oseb, s katerimi se podatki delijo, in več.
Razdelek, znan kot Zahteve za subjekte podatkov (DSR), uporabnikom omogoča dostop do možnosti izbrisa njihovih osebnih podatkov. Prav tako CCPA zahteva, da podjetja na svoji domači strani prikažejo povezavo »Ne prodajaj mojih osebnih podatkov«. CCPA bo uveljavljal generalni državni tožilec in vključuje globe do 7.500 $ za vsako posamezno kršitev.
Zakon o zasebnosti Nevade
Zakon o zasebnosti Nevade je bil podpisan 29. maja 2019 in je bil uveljavljen 1. oktobra 2019, tri mesece pred bolj znanim CCPA. Zakoni so zelo podobni, vendar imajo veliko razliko v tem, kako je »prodaja« opredeljena. Zakon Nevade je ožji, ne zajema vseh ponudnikov storitev in je bolj popustljiv do finančnih institucij. Po navedbah InfoLawGroup sta si zakon CCPA in zakon Nevade podobna v tem, da oba zahtevata, da "podjetja pripravijo postopek za preverjanje zakonitosti zahteve za odjavo potrošnika in od podjetij zahtevati, da odgovorijo na zahtevo v 60 dneh." Podobno kot v Kaliforniji je izvrševanje Nevade v pristojnosti generalnega državnega tožilca in vključuje globe do 5.000 $ na kršitev.
Newyorški zakon o zasebnosti
Maja 2019 je senator zvezne države New York Kevin Thomas predstavil enega najbolj revolucionarnih zakonov na področju zasebnosti podatkov. Zahteve so bile standardne in so vključevale možnost, da prebivalci dostopajo, popravljajo, izbrišejo in hranijo svoje osebne podatke pred tretjimi osebami.
Dodane pa so bile obsežnejše določbe, kot so obveznosti do fiduciarjev podatkov in pravica rezidentov, da vložijo tožbo zoper podjetja, če so zaradi kršitve oškodovani. Ta zasebna pravica do ukrepanja je ena največjih ločitev od drugih predpisov in bi lahko spodbudila potrošnike, da bi sledili podjetjem, ki ne izpolnjujejo predpisov. Predlog zakona je tudi širši od CCPA in zajema vsa podjetja, ki hranijo "občutljive podatke o prebivalcih New Yorka", brez zahteve po prihodkih za zajete subjekte.
Z zakoni, sprejetimi v dveh državah, predlogi zakonov v drugih in devetimi zveznimi državami, ki sprejemajo nove zakone o obveščanju o kršitvah podatkov, smo priča začetku velikega premika k varstvu podatkov potrošnikov in odgovornosti podjetij, ki nadzorujejo in obdelaj.
Da bi ohranili skladnost, se morajo podjetja zavedati trenutnih zakonov, prihodnjih predpisov v delu in možnosti za različne standarde v ZDA. Ustvarjanje procesov za ravnanje s podatki, prenosljivost podatkov in kartiranje ter nadzor uporabnikov, ki so vključeni, je nekaj potrebnih praks za podjetja, ki zbirajo osebne podatke.