Νόμοι περί απορρήτου δεδομένων στις ΗΠΑ

Τα ζητήματα απορρήτου δεδομένων και οι αντίστοιχοι κανονισμοί είναι μερικές από τις μεγαλύτερες προκλήσεις που αντιμετωπίζουν σήμερα οι εταιρείες. Ενώ οι εταιρείες που επηρεάζονται από τον GDPR έχουν αισθανθεί το αρχικό κύμα προστίμων, απαιτήσεων και προτύπων, το απόρρητο είναι πλέον διεθνές ζήτημα.

Οι ΗΠΑ έχουν ήδη αρχίσει να κινούνται προς την επαναστατική ρύθμιση της ιδιωτικής ζωής. Με τους νόμους που έχουν ψηφιστεί στην Καλιφόρνια και τη Νεβάδα και τα νομοσχέδια που σχεδιάζονται σε πολλές άλλες πολιτείες, οι εταιρείες θα πρέπει να αναμένουν ότι θα επηρεαστούν μέσα στους επόμενους μήνες.

Αυτό το άρθρο αναλύει τα κρίσιμα μέρη του νόμου/νομοσχεδίου για τη ρύθμιση απορρήτου κάθε πολιτείας — συμπεριλαμβανομένου του ποιον καλύπτουν, πότε τίθενται σε ισχύ, κυρώσεις, πώς επιτυγχάνεται η συμμόρφωση καθώς και γιατί οι πολιτείες έλαβαν τα μέτρα ενώπιον της ομοσπονδιακής κυβέρνησης για την προστασία των προσωπικών δεδομένων των καταναλωτών.

Ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια

Ως ένας από τους πρώτους νόμους περί απορρήτου που ψηφίστηκε μετά τον GDPR, το CCPA λειτουργεί ως το προσχέδιο για άλλα νομοσχέδια στις ΗΠΑ. Από την 1η Ιανουαρίου 2020, ο CCPA ισχύει για μια επιχείρηση που συλλέγει/επεξεργάζεται προσωπικά δεδομένα κατοίκων της Καλιφόρνια ή δραστηριοποιείται επιχειρηματικά στην Καλιφόρνια. Αυτές οι επιχειρήσεις υπόκεινται στον CCPA εάν:

Υπερβαίνουν τα ακαθάριστα έσοδα των 25 εκατομμυρίων δολαρίων

Αγοράστε, λάβετε, πουλήστε ή μοιραστείτε (συνολικά) προσωπικά στοιχεία 50.000 ή περισσότερων νοικοκυριών καταναλωτών ή συσκευών

Κερδίστε το 50% ή περισσότερο των ετήσιων εσόδων από την πώληση των προσωπικών στοιχείων του καταναλωτή

Ο CCPA παραχωρεί στους καταναλωτές δικαιώματα παρόμοια με τον GDPR, συμπεριλαμβανομένης της αποκάλυψης προσωπικών πληροφοριών και αιτημάτων για προσωπικά δεδομένα. Οι επιχειρήσεις υποχρεούνται να απαντούν σε επαληθεύσιμα αιτήματα καταναλωτών με πληροφορίες, όπως κατηγορίες και δεδομένα προσωπικών πληροφοριών, τρίτα μέρη και κατηγορίες τρίτων με τα οποία κοινοποιούνται δεδομένα και άλλα.

Η ενότητα, γνωστή ως Data Subject Requests (DSR) παρέχει στους χρήστες πρόσβαση σε επιλογές διαγραφής για τα προσωπικά τους στοιχεία. Επίσης, ο CCPA απαιτεί από τις επιχειρήσεις να εμφανίζουν έναν σύνδεσμο "Να μην πωλούνται τα προσωπικά μου στοιχεία" στην αρχική τους σελίδα. Ο CCPA θα επιβληθεί από τον Γενικό Εισαγγελέα και περιλαμβάνει πρόστιμα έως 7.500 $ για κάθε μεμονωμένη παράβαση.

Νόμος περί απορρήτου της Νεβάδα

Ο νόμος περί απορρήτου της Νεβάδα υπογράφηκε στις 29 Μαΐου 2019 και τέθηκε σε ισχύ την 1η Οκτωβρίου 2019, τρεις μήνες πριν από το πιο γνωστό CCPA. Οι νόμοι είναι πολύ παρόμοιοι, αλλά έχουν μια σημαντική διαφορά στον τρόπο με τον οποίο ορίζεται η «πώληση». Ο νόμος της Νεβάδα είναι πιο περιορισμένος, δεν καλύπτει όλους τους παρόχους υπηρεσιών και είναι πιο επιεικής για τα χρηματοπιστωτικά ιδρύματα. Σύμφωνα με το InfoLawGroup, ο νόμος CCPA και ο νόμος της Νεβάδα είναι παρόμοιοι στο ότι και οι δύο απαιτούν «οι επιχειρήσεις να καταλήξουν σε μια διαδικασία για να επαληθεύσουν τη νομιμότητα ενός αιτήματος εξαίρεσης καταναλωτή και να απαιτήσουν από τις επιχειρήσεις να απαντήσουν στο αίτημα εντός 60 ημερών». Παρόμοια με την Καλιφόρνια, η επιβολή της νομοθεσίας στη Νεβάδα ανήκει στον Γενικό Εισαγγελέα και περιλαμβάνει πρόστιμα έως και 5.000 $ ανά παράβαση.

Νομοσχέδιο απορρήτου της Νέας Υόρκης

Τον Μάιο του 2019, ο γερουσιαστής της Πολιτείας της Νέας Υόρκης Kevin Thomas εισήγαγε ένα από τα πιο επαναστατικά νομοσχέδια για το απόρρητο δεδομένων. Οι απαιτήσεις ήταν τυπικές και περιλάμβαναν τη δυνατότητα των κατοίκων να έχουν πρόσβαση, να διορθώνουν, να διαγράφουν και να διατηρούν τα προσωπικά τους δεδομένα από τρίτους.

Ωστόσο, προστέθηκαν πιο επεκτατικές διατάξεις, όπως οι υποχρεώσεις προς τους καταπιστευματοδόχους δεδομένων και το δικαίωμα των κατοίκων να υποβάλλουν μήνυση κατά εταιρειών εάν τραυματιστούν λόγω παραβίασης. Αυτό το ιδιωτικό δικαίωμα δράσης είναι ένα από τα μεγαλύτερα σημεία διαχωρισμού από άλλους κανονισμούς και θα μπορούσε να δώσει κίνητρα στους καταναλωτές να κυνηγήσουν εταιρείες που δεν συμμορφώνονται. Το νομοσχέδιο είναι επίσης ευρύτερο από το CCPA, και καλύπτει κάθε εταιρεία που κατέχει τα «ευαίσθητα δεδομένα κατοίκων της Νέας Υόρκης», χωρίς απαίτηση εσόδων για καλυπτόμενες οντότητες.

Με νόμους που έχουν ψηφιστεί σε δύο πολιτείες, νομοσχέδια που προτείνονται σε άλλες και εννέα πολιτείες που ψηφίζουν νέους νόμους για την ειδοποίηση παραβίασης δεδομένων, γινόμαστε μάρτυρες μιας τεράστιας στροφής προς την προστασία των δεδομένων των καταναλωτών και τη λογοδοσία των επιχειρήσεων που τα ελέγχουν και τα επεξεργάζονται.

Για να διατηρηθεί η συμμόρφωση, οι επιχειρήσεις πρέπει να γνωρίζουν τους ισχύοντες νόμους, τους μελλοντικούς κανονισμούς που βρίσκονται σε εξέλιξη και τις δυνατότητες για διαφορετικά πρότυπα στις ΗΠΑ. Η δημιουργία διαδικασιών για τη διαχείριση δεδομένων, τη φορητότητα και τη χαρτογράφηση δεδομένων, καθώς και τα στοιχεία ελέγχου συμμετοχής χρήστη είναι μερικές από τις απαραίτητες πρακτικές για τις επιχειρήσεις που συλλέγουν προσωπικά δεδομένα.