Datasekretessfrågor och motsvarande bestämmelser är några av de största utmaningarna som företag står inför idag. Medan företag som påverkas av GDPR har känt den första vågen av böter, krav och standarder, är integritet nu en internationell fråga.
USA har redan börjat gå mot revolutionerande integritetsreglering. Med lagar som antagits i Kalifornien och Nevada och lagförslag planerade i många andra stater, bör företag förvänta sig att påverkas inom de kommande månaderna.
Den här artikeln bryter ner de avgörande delarna av varje stats integritetsregleringslag/lag – inklusive vem de täcker, när de träder i kraft, påföljder, hur man uppnår efterlevnad samt varför stater tog stegen inför den federala regeringen för att skydda konsumenternas personliga data.
California Consumer Privacy Act
Som en av de första integritetslagarna som antogs efter GDPR, CCPA fungerar som ritningen för andra räkningar i USA. Från och med den 1 januari 2020 gäller CCPA för ett företag som samlar in/behandlar Kaliforniens invånares personuppgifter eller gör affärer i Kalifornien. Dessa företag omfattas av CCPA om de antingen:
- Överstiga en bruttointäkt på 25 miljoner dollar
- Köp, ta emot, sälj eller dela (sammanlagt totalt) personlig information om 50 000 eller fler konsumenters hushåll eller enheter
- Få 50 % eller mer av de årliga intäkterna från att sälja konsumenternas personliga information
CCPA ger konsumenter rättigheter som liknar GDPR, inklusive avslöjande av personlig information och förfrågningar om personuppgifter. Företag måste svara på verifierbara konsumentförfrågningar med information, såsom kategorier och data av personlig information, tredje parter och kategorier av tredje parter som data delas med, och Mer.
Sektionen, känd som Data Subject Requests (DSR) ger användare tillgång till raderingsalternativ för deras personliga information. Dessutom kräver CCPA att företag visar länken "Sälj inte min personliga information" på sin hemsida. CCPA kommer att upprätthållas av justitieministern och inkluderar böter på upp till $7 500 för varje enskild överträdelse.
Nevadas integritetslagstiftning
Nevadas integritetslag undertecknades den 29 maj 2019 och trädde i kraft den 1 oktober 2019, tre månader före den mer kända CCPA. Lagarna är väldigt lika men har stor skillnad i hur "försäljning" definieras. Nevadas lag är snävare, täcker inte alla tjänsteleverantörer och är mer överseende med finansinstitutioner. Enligt InfoLawGroup liknar CCPA och Nevadas lagar i det att båda kräver att "företag kommer med en process för att verifiera legitimiteten av en begäran om att välja bort konsumenter och kräver att företag svarar på begäran inom 60 dagar." I likhet med Kalifornien ligger Nevadas verkställighet hos justitieministern och inkluderar böter på upp till $5 000 per överträdelse.
New Yorks integritetsförslag
I maj 2019 presenterade senatorn Kevin Thomas i delstaten New York en av de mest revolutionerande lagförslagen inom datasekretess. Kraven var standard och inkluderade möjligheten för boende att komma åt, korrigera, radera och behålla sina personuppgifter från tredje part.
Däremot tillkom mer expansiva bestämmelser, såsom skyldigheter gentemot dataförtroendemän och rätten för invånare att väcka talan mot företag om de skadas på grund av en överträdelse. Denna privata rätt till talan är en av de största skiljepunkterna från andra regleringar och kan uppmuntra konsumenter att gå efter företag som inte följer efterlevnaden. Lagförslaget är också bredare än CCPA, och omfattar alla företag som innehar "känsliga uppgifter om invånare i New York", utan några intäktskrav för omfattade enheter.
Med lagar som antagits i två delstater, lagförslag i andra och nio delstater som antar nya lagar om dataintrång, är vi bevittna början av en massiv förändring mot skydd för konsumentdata och ansvarighet för företag som kontrollerar och bearbeta det.
För att upprätthålla efterlevnad måste företag vara medvetna om nuvarande lagar, framtida regleringar på gång och potentialen för olika standarder i USA. Att skapa processer för datahantering, dataportabilitet och kartläggning och användarkontroller är några av de nödvändiga metoderna för företag som samlar in personuppgifter.