Zákony o ochraně osobních údajů v USA

Otázky ochrany osobních údajů a odpovídající předpisy jsou jedny z největších výzev, kterým dnes společnosti čelí. Zatímco společnosti, kterých se GDPR týká , pocítily prvotní vlnu pokut, požadavků a norem, soukromí je nyní mezinárodním problémem.

USA již začaly směřovat k revoluční regulaci soukromí. Díky zákonům schváleným v Kalifornii a Nevadě a plánovaným zákonům v mnoha dalších státech by společnosti měly očekávat, že budou ovlivněny v nadcházejících měsících.

Tento článek rozebírá klíčové části zákona/návrhu zákona o ochraně soukromí každého státu – včetně toho, na koho se vztahují, kdy vstoupí v platnost, sankce, jak dosáhnout souladu a také proč státy podnikly kroky před federální vládou k ochraně osobních údajů spotřebitelů.

Kalifornský zákon o ochraně soukromí spotřebitelů

Jako jeden z prvních zákonů na ochranu soukromí schválených po GDPR funguje CCPA jako plán pro další návrhy zákonů v USA. S účinností od 1. ledna 2020 se CCPA vztahuje na firmu, která shromažďuje/zpracovává osobní údaje obyvatel Kalifornie nebo podniká v Kalifornii. Tyto podniky podléhají zákonu CCPA, pokud:

Překročit hrubý příjem 25 milionů dolarů

Nakupujte, přijímejte, prodávejte nebo sdílejte (kombinovaný celkový počet) osobní údaje 50 000 nebo více domácností nebo zařízení spotřebitelů

Získejte 50 % nebo více ročních příjmů z prodeje osobních údajů spotřebitelů

CCPA uděluje spotřebitelům práva podobná GDPR, včetně zveřejnění osobních údajů a žádostí o osobní údaje. Podniky jsou povinny reagovat na ověřitelné požadavky spotřebitelů informacemi, jako jsou kategorie a údaje osobních údajů, třetí strany a kategorie třetích stran, se kterými jsou údaje sdíleny, a další.

Sekce, známá jako požadavky subjektu údajů (DSR), poskytuje uživatelům přístup k možnostem odstranění jejich osobních údajů. Zákon CCPA také vyžaduje, aby firmy na své domovské stránce zobrazovaly odkaz „Neprodávejte mé osobní údaje“. CCPA bude vymáhat generální prokurátor a zahrnuje pokuty až do výše 7 500 USD za každé jednotlivé porušení.

Nevadský zákon na ochranu soukromí

Nevadský zákon o ochraně soukromí byl podepsán 29. května 2019 a vstoupil v platnost 1. října 2019, tři měsíce před známějším zákonem CCPA. Zákony jsou velmi podobné, ale mají velký rozdíl v tom, jak je „prodej“ definován. Nevadské právo je užší, nepokrývá všechny poskytovatele služeb a je mírnější k finančním institucím. Podle InfoLawGroup jsou zákony CCPA a Nevady podobné v tom, že oba vyžadují „podniky, aby předložily proces k ověření legitimity žádosti spotřebitele o odstoupení od smlouvy, a vyžadují, aby podniky na žádost odpověděly do 60 dnů“. Podobně jako v Kalifornii spočívá vymáhání v Nevadě na generálním prokurátorovi a zahrnuje pokuty až do výše 5 000 USD za porušení.

New York's Privacy Bill

V květnu 2019 senátor státu New York Kevin Thomas představil jeden z nejrevolučnějších zákonů v oblasti ochrany osobních údajů. Požadavky byly standardní a zahrnovaly možnost obyvatel přistupovat ke svým osobním údajům, opravovat je, mazat a uchovávat je před třetími stranami.

Byla však přidána rozsáhlejší ustanovení, jako jsou povinnosti vůči správcům údajů a právo rezidentů podat žalobu na společnosti, pokud jsou poškozeni z důvodu porušení. Toto soukromé právo jednat je jedním z největších oddělovacích bodů od ostatních předpisů a mohlo by spotřebitele motivovat, aby šli po společnostech, které nedodržují předpisy. Návrh zákona je také širší než CCPA a vztahuje se na jakoukoli společnost, která vlastní „citlivá data obyvatel New Yorku“, bez požadavku na příjmy pro zahrnuté subjekty.

Se zákony přijatými ve dvou státech, návrhy zákonů v jiných a devíti státy, které přijaly nové zákony o oznamování narušení dat, jsme svědky začátku masivního posunu směrem k ochraně spotřebitelských dat a odpovědnosti za podniky, které je kontrolují a zpracovávají.

Pro udržení souladu si podniky musí být vědomy současných zákonů, budoucích předpisů a potenciálu různých standardů v USA. Vytváření procesů pro manipulaci s daty, přenositelnost dat a mapování a ovládací prvky pro přihlášení uživatele jsou některé z nezbytných postupů pro podniky, které shromažďují osobní údaje.