Adatvédelmi törvények az Egyesült Államokban

Az adatvédelmi kérdések és a kapcsolódó szabályozások a mai vállalatok előtt álló legnagyobb kihívások közé tartoznak. Míg a GDPR által érintett vállalatok megérezték a bírságok, követelmények és szabványok kezdeti hullámát, az adatvédelem ma már nemzetközi kérdés.

Az Egyesült Államokban már elindult a forradalmi adatvédelmi szabályozás felé. A Kaliforniában és Nevadában elfogadott törvények, valamint sok más államban tervezett törvényjavaslatok miatt a vállalatok várhatóan a következő hónapokban hatással lesznek rájuk.

Ez a cikk lebontja az egyes államok adatvédelmi szabályozásáról szóló törvényének/törvénytervezetének kulcsfontosságú részeit – ideértve azt, hogy kire vonatkoznak, mikor lépnek hatályba, a szankciókat, hogyan lehet elérni a megfelelést, valamint azt, hogy az államok miért tettek lépéseket a szövetségi kormány előtt a fogyasztók személyes adatainak védelme érdekében.

A kaliforniai fogyasztói adatvédelmi törvény

A GDPR után elfogadott első adatvédelmi törvények egyikeként a CCPA szolgál más törvényjavaslatok tervezeteként az Egyesült Államokban. 2020. január 1-jétől a CCPA olyan vállalkozásokra vonatkozik, amelyek kaliforniai lakosok személyes adatait gyűjtik/feldolgozzák, vagy Kaliforniában folytatnak üzleti tevékenységet. Ezekre a vállalkozásokra vonatkozik a CCPA, ha:

Meghaladja a 25 millió dolláros bruttó bevételt

50 000 vagy több fogyasztó háztartásának vagy eszközének személyes adatainak megvásárlása, fogadása, eladása vagy megosztása (összesen összesen)

Szerezze meg az éves bevétel 50%-át vagy többet a fogyasztó személyes adatainak eladásából

A CCPA a GDPR-hoz hasonló jogokat biztosít a fogyasztóknak, beleértve a személyes adatok nyilvánosságra hozatalát és a személyes adatok kérését. A vállalkozásoknak az ellenőrizhető fogyasztói kérésekre olyan információkkal kell válaszolniuk, mint például a személyes adatok kategóriái és adatai, harmadik felek, valamint az adatokat megosztó harmadik felek kategóriái stb.

A Data Subject Requests (DSR) néven ismert rész a felhasználók számára hozzáférést biztosít személyes adataik törlésének lehetőségéhez. Ezenkívül a CCPA előírja, hogy a vállalkozások a kezdőlapjukon jelenítsenek meg egy „Ne add el a személyes adataimat” linket. A CCPA-t a főügyész fogja végrehajtani, és minden egyes megsértésért 7500 dollárig terjedő pénzbírságot tartalmaz.

Nevada adatvédelmi törvénye

A nevadai adatvédelmi törvényt 2019. május 29-én írták alá, és 2019. október 1-jén léptették életbe, három hónappal az ismertebb CCPA előtt. A törvények nagyon hasonlóak, de jelentős különbségek vannak az „eladás” definíciójában. A nevadai törvény szűkebb, nem terjed ki minden szolgáltatóra, és engedékenyebb a pénzintézetekkel szemben. Az InfoLawGroup szerint a CCPA és a nevadai törvény hasonló abban, hogy mindkettő előírja „a vállalkozásoknak, hogy dolgozzanak ki eljárást a fogyasztói leiratkozási kérelem jogosságának ellenőrzésére, és megkövetelik a vállalkozásoktól, hogy 60 napon belül válaszoljanak a kérésre”. Kaliforniához hasonlóan Nevada államban is az Attorney General hatáskörébe tartozik, és jogsértésenként akár 5000 dollárig terjedő pénzbírságot is magában foglal.

New York-i adatvédelmi törvényjavaslat

2019 májusában New York állam szenátora, Kevin Thomas benyújtotta az egyik legforradalmibb törvényjavaslatot az adatvédelem területén. A követelmények szabványosak voltak, és tartalmazták azt a lehetőséget, hogy a lakosok hozzáférjenek, javítsák, töröljék és megőrizzék személyes adataikat harmadik féltől.

Kibővítették azonban a rendelkezéseket, például az adatkezelőkkel szembeni kötelezettségeket, valamint a lakosok jogát, hogy pert indítsanak cégekkel szemben, ha jogsértés miatt megsérülnek. Ez a magánjellegű kereseti jog az egyik legnagyobb elválasztó pont a többi szabályozástól, és arra ösztönözheti a fogyasztókat, hogy olyan cégek után menjenek, amelyek nem felelnek meg a szabályoknak. A törvényjavaslat a CCPA-nál is tágabb, és minden olyan társaságra kiterjed, amely „New York-i lakosok érzékeny adatait” birtokolja, és nincs bevételi követelmény a hatálya alá tartozó szervezetek számára.

Mivel két államban törvényeket fogadtak el, más államokban törvényjavaslatokat javasoltak, és kilenc állam új adatvédelmi incidens bejelentési törvényt fogadott el, a fogyasztói adatok védelme és az azokat ellenőrző és feldolgozó vállalkozások elszámoltathatósága felé irányuló hatalmas elmozdulás kezdetének vagyunk a tanúi.

A megfelelőség fenntartása érdekében a vállalkozásoknak tisztában kell lenniük a jelenlegi törvényekkel, a munkálatok jövőbeni szabályozásaival, valamint az egyesült államokbeli eltérő szabványok lehetőségeivel. Az adatkezelési, adathordozhatósági és leképezési folyamatok létrehozása, valamint a felhasználói engedélyezési vezérlők csak néhány a személyes adatokat gyűjtő vállalkozások számára szükséges gyakorlatok közül.