Tietosuojalainsäädäntö Yhdysvalloissa

Tietosuojakysymykset ja vastaavat määräykset ovat yksi suurimmista haasteista, joita yritykset kohtaavat nykyään. Vaikka yritykset, joihin GDPR vaikuttaa, ovat kokeneet sakkojen, vaatimusten ja standardien alun, yksityisyys on nyt kansainvälinen kysymys.

Yhdysvallat on jo alkanut siirtyä kohti vallankumouksellista tietosuojasääntelyä. Kaliforniassa ja Nevadassa hyväksyttyjen lakien ja monissa muissa osavaltioissa suunnitteilla olevien lakien vuoksi yritysten odotetaan vaikuttavan niihin tulevien kuukausien aikana.

Tässä artikkelissa eritellään kunkin osavaltion yksityisyyttä säätelevän lain/lakiehdotuksen keskeiset osat – mukaan lukien ketä ne kattavat, milloin ne tulevat voimaan, rangaistuksia, miten noudattaminen saavutetaan ja miksi osavaltiot ryhtyivät toimiin liittohallituksen edessä suojellakseen kuluttajien henkilötietoja.

Kalifornian kuluttajansuojalaki

CCPA on yksi ensimmäisistä GDPR:n jälkeen hyväksytyistä tietosuojalaeista, ja se toimii mallina muille Yhdysvaltojen lakiehdotuksille. 1.1.2020 alkaen CCPA koskee yrityksiä, jotka keräävät/käsittelevät Kalifornian asukkaiden henkilötietoja tai harjoittavat liiketoimintaa Kaliforniassa. Nämä yritykset ovat CCPA:n alaisia, jos ne:

Ylittää 25 miljoonan dollarin bruttotulot

Osta, vastaanota, myy tai jaa (yhteensä) vähintään 50 000 kuluttajan kotitalouden tai laitteen henkilökohtaisia ​​tietoja

Ansaitse vähintään 50 % vuosituloista myymällä kuluttajan henkilötietoja

CCPA myöntää kuluttajille GDPR:n kaltaisia ​​oikeuksia, mukaan lukien henkilötietojen luovuttaminen ja henkilötietopyynnöt. Yritysten on vastattava todennettavissa oleviin kuluttajien pyyntöihin antamalla tietoja, kuten henkilötietojen luokat ja tiedot, kolmannet osapuolet ja kolmansien osapuolten luokat, joiden kanssa tietoja jaetaan, ja paljon muuta.

Osa, joka tunnetaan nimellä Data Subject Requests (DSR), antaa käyttäjille pääsyn henkilökohtaisten tietojensa poistovaihtoehtoihin. Lisäksi CCPA edellyttää, että yritykset näyttävät etusivullaan "Älä myy henkilökohtaisia ​​tietojani" -linkin. Oikeusministeri valvoo CCPA:n täytäntöönpanoa, ja se sisältää sakkoja aina 7 500 dollariin asti jokaisesta yksittäisestä rikkomuksesta.

Nevadan tietosuojalaki

Nevadan tietosuojalaki allekirjoitettiin 29. toukokuuta 2019, ja se astui voimaan 1. lokakuuta 2019, kolme kuukautta ennen tunnetumpaa CCPA:ta. Lait ovat hyvin samankaltaisia, mutta niillä on suuri ero siinä, miten "myynti" määritellään. Nevadan laki on suppeampi, se ei kata kaikkia palveluntarjoajia ja on lempeämpi rahoituslaitoksia kohtaan. InfoLawGroupin mukaan CCPA ja Nevadan laki ovat samankaltaisia ​​siinä mielessä, että molemmat vaativat "yrityksiä kehittämään prosessin kuluttajan kieltäytymispyynnön laillisuuden tarkistamiseksi ja vaativat yrityksiä vastaamaan pyyntöön 60 päivän kuluessa". Kalifornian tapaan Nevadan täytäntöönpano kuuluu oikeusministerille, ja se sisältää sakkoja jopa 5 000 dollaria rikkomusta kohti.

New Yorkin tietosuojalaki

Toukokuussa 2019 New Yorkin osavaltion senaattori Kevin Thomas esitteli yhden vallankumouksellisimmista tietosuojalaeista. Vaatimukset olivat vakioita ja sisälsivät asukkaiden mahdollisuuden päästä käsiksi, korjata, poistaa ja säilyttää henkilötietojaan kolmansilta osapuolilta.

Lisättiin kuitenkin aiempaa laajempia säännöksiä, kuten velvollisuudet tietoturvaa kohtaan ja asukkaiden oikeus nostaa kanne yrityksiä vastaan, jos heille aiheutuu vahinkoa rikkomuksen vuoksi. Tämä yksityinen kanneoikeus on yksi suurimmista eroista muista säännöksistä ja saattaa kannustaa kuluttajia hakemaan yrityksiä, jotka eivät noudata sääntöjä. Lakiesitys on myös CCPA:ta laajempi, ja se kattaa kaikki yritykset, jotka pitävät hallussaan "New Yorkin asukkaiden arkaluontoisia tietoja", eikä niille kuulu tulovaatimuksia.

Kahdessa osavaltiossa hyväksytyt lait, muissa ehdotetut lakiehdotukset ja yhdeksässä osavaltiossa uusia tietosuojaloukkauksista ilmoittamista koskevia lakeja ovat todistamassa massiivisen muutoksen alkamista kohti kuluttajatietojen suojaa ja niitä hallitsevien ja käsittelevien yritysten vastuuvelvollisuutta.

Vaatimusten noudattamisen ylläpitämiseksi yritysten on oltava tietoisia nykyisistä laeista, tulevista töissä olevista säännöksistä ja erilaisten standardien mahdollisuuksista kaikkialla Yhdysvalloissa. Prosessien luominen tietojen käsittelyä, siirrettävyyttä ja kartoittamista varten sekä käyttäjien osallistumishallinta ovat muutamia henkilötietoja keräävien yritysten välttämättömiä käytäntöjä.