Zákony o ochrane osobných údajov v USA

Problémy ochrany osobných údajov a príslušné nariadenia sú jedny z najväčších výziev, ktorým spoločnosti v súčasnosti čelia. Zatiaľ čo spoločnosti, ktorých sa GDPR dotýka , pocítili prvotnú vlnu pokút, požiadaviek a noriem, ochrana súkromia je teraz medzinárodnou témou.

USA už začali smerovať k revolučnej regulácii súkromia. So zákonmi prijatými v Kalifornii a Nevade a návrhmi zákonov v mnohých ďalších štátoch by spoločnosti mali očakávať, že budú ovplyvnené v najbližších mesiacoch.

Tento článok rozoberá kľúčové časti zákona/účtu o ochrane súkromia každého štátu – vrátane toho, na koho sa vzťahujú, kedy nadobudnú účinnosť, sankcie, ako dosiahnuť súlad, ako aj to, prečo štáty podnikli kroky pred federálnou vládou na ochranu osobných údajov spotrebiteľov.

Kalifornský zákon o ochrane súkromia spotrebiteľov

Ako jeden z prvých zákonov o ochrane osobných údajov prijatých po GDPR, CCPA funguje ako plán pre ďalšie účty v USA. S účinnosťou od 1. januára 2020 sa CCPA vzťahuje na firmu, ktorá zhromažďuje/spracúva osobné údaje obyvateľov Kalifornie alebo podniká v Kalifornii. Tieto podniky podliehajú zákonu CCPA, ak:

Prekročiť hrubý príjem 25 miliónov dolárov

Nakupujte, prijímajte, predávajte alebo zdieľajte (spolu) osobné informácie 50 000 alebo viacerých domácností alebo zariadení spotrebiteľov

Získajte 50 % alebo viac ročného príjmu z predaja osobných údajov spotrebiteľa

CCPA udeľuje spotrebiteľom práva podobné GDPR, vrátane sprístupnenia osobných údajov a žiadostí o osobné údaje. Od podnikov sa vyžaduje, aby na overiteľné požiadavky spotrebiteľov odpovedali informáciami, ako sú kategórie a údaje osobných údajov, tretie strany a kategórie tretích strán, s ktorými sa údaje zdieľajú, a ďalšie.

Sekcia známa ako Požiadavky dotknutých osôb (DSR) poskytuje používateľom prístup k možnostiam vymazania ich osobných údajov. Zákon CCPA tiež vyžaduje, aby firmy zobrazovali na svojej domovskej stránke odkaz „Nepredávajte moje osobné údaje“. CCPA bude presadzovať generálny prokurátor a zahŕňa pokuty až do výšky 7 500 USD za každé jednotlivé porušenie.

Nevadský zákon o ochrane osobných údajov

Nevadský zákon o ochrane osobných údajov bol podpísaný 29. mája 2019 a vstúpil do platnosti 1. októbra 2019, tri mesiace pred známejším zákonom CCPA. Zákony sú veľmi podobné, ale majú veľký rozdiel v tom, ako je definovaný „predaj“. Nevadské právo je užšie, nepokrýva všetkých poskytovateľov služieb a je zhovievavejšie k finančným inštitúciám. Podľa InfoLawGroup sú zákony CCPA a Nevada podobné v tom, že oba vyžadujú „podniky, aby prišli s procesom na overenie legitímnosti žiadosti spotrebiteľa o odstúpenie od zmluvy, a vyžadujú, aby podniky odpovedali na žiadosť do 60 dní“. Podobne ako v Kalifornii, vymáhanie v Nevade spočíva na generálnom prokurátorovi a zahŕňa pokuty až do výšky 5 000 USD za každé porušenie.

Newyorský zákon o ochrane osobných údajov

V máji 2019 senátor štátu New York Kevin Thomas predstavil jeden z najrevolučnejších zákonov v oblasti ochrany osobných údajov. Požiadavky boli štandardné a zahŕňali možnosť obyvateľov pristupovať k svojim osobným údajom, opravovať ich, mazať a uchovávať ich pred tretími stranami.

Pridali sa však rozsiahlejšie ustanovenia, ako napríklad povinnosti voči správcom údajov a právo obyvateľov podať žalobu na spoločnosti, ak sú poškodení z dôvodu porušenia. Toto súkromné ​​právo konať je jedným z najväčších oddelení od iných nariadení a mohlo by podnietiť spotrebiteľov, aby šli po spoločnostiach, ktoré nedodržiavajú predpisy. Návrh zákona je tiež širší ako CCPA a vzťahuje sa na každú spoločnosť, ktorá vlastní „citlivé údaje obyvateľov New Yorku“, bez požiadavky na príjmy pre zahrnuté subjekty.

So zákonmi prijatými v dvoch štátoch, návrhmi zákonov v iných a deviatimi štátmi, ktoré prijali nové zákony o oznamovaní narušenia údajov, sme svedkami začiatku masívneho posunu smerom k ochrane spotrebiteľských údajov a zodpovednosti za podniky, ktoré ich kontrolujú a spracúvajú.

Na udržanie súladu si podniky musia byť vedomé súčasných zákonov, budúcich predpisov a potenciálu rôznych noriem v USA. Vytváranie procesov na manipuláciu s údajmi, prenosnosť údajov a mapovanie a ovládacie prvky na prihlásenie používateľa sú niektoré z nevyhnutných postupov pre podniky, ktoré zhromažďujú osobné údaje.