Personvernlover i USA

Personvernspørsmål og tilsvarende reguleringer er noen av de største utfordringene bedrifter står overfor i dag. Mens selskaper som er berørt av GDPR har følt den første bølgen av bøter, krav og standarder, er personvern nå et internasjonalt problem.

USA har allerede begynt å bevege seg mot revolusjonerende personvernregulering. Med lover vedtatt i California og Nevada og lovforslag planlagt i mange andre stater, bør selskaper forvente å bli påvirket i løpet av de kommende månedene.

Denne artikkelen bryter ned de avgjørende delene av hver stats lov/lov om personvernregulering – inkludert hvem de dekker, når de trer i kraft, straffer, hvordan man oppnår overholdelse, samt hvorfor stater tok skritt før den føderale regjeringen for å beskytte forbrukerens personopplysninger.

California Consumer Privacy Act

Som en av de første personvernlovene som ble vedtatt etter GDPR, fungerer CCPA som blåkopi for andre regninger i USA. Med virkning fra 1. januar 2020 gjelder CCPA for en virksomhet som samler inn/behandler California-innbyggeres personopplysninger eller driver forretninger i California. Disse virksomhetene er underlagt CCPA hvis de enten:

Overstige en bruttoinntekt på 25 millioner dollar

Kjøp, motta, selg eller del (kombinert totalt) personlig informasjon om 50 000 eller flere forbrukerhusholdninger eller enheter

Få 50 % eller mer av den årlige inntekten ved å selge forbrukerens personopplysninger

CCPA gir rettigheter til forbrukere som ligner på GDPR, inkludert utlevering av personlig informasjon og forespørsler om personopplysninger. Bedrifter er pålagt å svare på verifiserbare forbrukerforespørsler med informasjon, for eksempel kategorier og data med personlig informasjon, tredjeparter og kategorier av tredjeparter som data deles med, og mer.

Seksjonen, kjent som Data Subject Requests (DSR) gir brukere tilgang til slettingsalternativer for deres personlige opplysninger. CCPA krever også at bedrifter viser en "Ikke selg min personlige informasjon"-kobling på hjemmesiden deres. CCPA vil bli håndhevet av statsadvokaten og inkluderer bøter på opptil $7 500 for hvert enkelt brudd.

Nevadas personvernlov

Nevadas personvernlov ble signert 29. mai 2019, og ble iverksatt 1. oktober 2019, tre måneder før den bedre kjente CCPA. Lovene er veldig like, men har en stor forskjell i hvordan "salg" defineres. Nevadas lov er smalere, dekker ikke alle tjenesteleverandører og er mer skånsom overfor finansinstitusjoner. I følge InfoLawGroup er CCPA- og Nevada-loven like ved at begge krever at "bedrifter kommer med en prosess for å verifisere legitimiteten til en forbrukerforespørsel om bortvalg og krever at bedrifter svarer på forespørselen innen 60 dager." I likhet med California, ligger Nevadas håndhevelse hos statsadvokaten og inkluderer bøter på opptil $5 000 per overtredelse.

New Yorks personvernlov

I mai 2019 introduserte senator Kevin Thomas i delstaten New York en av de mest revolusjonerende lovforslagene innen personvern. Kravene var standard og inkluderte muligheten for innbyggere til å få tilgang til, korrigere, slette og beholde sine personlige data fra tredjeparter.

Imidlertid ble det lagt til mer omfattende bestemmelser, som forpliktelser overfor dataforvaltere og rett for innbyggere til å reise søksmål mot selskaper hvis de blir skadet på grunn av et brudd. Denne private søksmålsretten er et av de største skillepunktene fra andre regelverk og kan motivere forbrukere til å gå etter selskaper som mangler samsvar. Lovforslaget er også bredere enn CCPA, og dekker ethvert selskap som har "sensitive data fra innbyggere i New York", uten inntektskrav for dekkede enheter.

Med lover vedtatt i to stater, lovforslag foreslått i andre og ni stater som vedtar nye lover om datainnbrudd, er vi vitne til begynnelsen på et massivt skifte mot beskyttelse av forbrukerdata og ansvarlighet for virksomheter som kontrollerer og behandler dem.

For å opprettholde overholdelse, må bedrifter være klar over gjeldende lover, fremtidige forskrifter på gang, og potensialet for forskjellige standarder over hele USA. Å lage prosesser for datahåndtering, dataportabilitet og kartlegging, og brukerkontroller er noen av de nødvendige praksisene for virksomheter som samler inn personopplysninger.