Закони про конфіденційність даних у США

Питання конфіденційності даних та відповідні правила є одними з найбільших проблем, з якими сьогодні стикаються компанії. Хоча компанії, які постраждали від GDPR , відчули початкову хвилю штрафів, вимог і стандартів, конфіденційність зараз є міжнародною проблемою.

США вже почали рухатися до революційного регулювання конфіденційності. Оскільки закони, прийняті в Каліфорнії та Неваді, та законопроекти, заплановані в багатьох інших штатах, очікують, що це вплине на компанії протягом найближчих місяців.

У цій статті розбираються важливі частини закону/законопроекту про конфіденційність кожного штату, зокрема, кого вони охоплюють, коли вони набудуть чинності, покарання, як досягти відповідності, а також чому штати вжили заходів до федерального уряду для захисту особистих даних споживачів.

Каліфорнійський закон про конфіденційність споживачів

Як один із перших законів про конфіденційність, прийнятих після GDPR, CCPA виступає в якості плану для інших законопроектів у США. З 1 січня 2020 року CCPA поширюється на компанію, яка збирає/обробляє персональні дані жителів Каліфорнії або веде бізнес у Каліфорнії. Ці компанії підпадають під дію CCPA, якщо вони:

Перевищити валовий дохід у 25 мільйонів доларів

Купуйте, отримуйте, продавайте або діліться (загалом) особистою інформацією 50 000 або більше домогосподарств або пристроїв споживачів

Отримайте 50% або більше річного доходу від продажу особистої інформації споживача

CCPA надає споживачам права, подібні до GDPR, включаючи розкриття особистої інформації та запити на персональні дані. Компанії зобов’язані відповідати на запити споживачів, які підлягають перевірці, за допомогою такої інформації, як категорії та дані особистої інформації, третіх сторін, категорій третіх сторін, яким передаються дані тощо.

Розділ, відомий як запити суб’єктів даних (DSR), надає користувачам доступ до варіантів видалення їхньої особистої інформації. Крім того, CCPA вимагає, щоб компанії відображали на своїй домашній сторінці посилання «Не продавайте мою особисту інформацію». CCPA буде виконуватися Генеральним прокурором і включає штрафи до 7500 доларів США за кожне окреме порушення.

Закон Невади про конфіденційність

Закон штату Невада про конфіденційність був підписаний 29 травня 2019 року і набув чинності 1 жовтня 2019 року, за три місяці до більш відомого CCPA. Закони дуже схожі, але мають суттєву відмінність у тому, як визначається «продаж». Закон штату Невада є вужчим, він не охоплює всіх постачальників послуг і є більш м’яким до фінансових установ. Відповідно до InfoLawGroup, закон CCPA і закон Невади подібні тим, що обидва вимагають, щоб «підприємства розробили процес для перевірки законності запиту на відмову споживача та вимагали, щоб підприємства відповіли на запит протягом 60 днів». Подібно до Каліфорнії, у штаті Невада відповідальність за виконання покладається на Генерального прокурора і включає штрафи до 5000 доларів за порушення.

Нью-Йоркський законопроект про конфіденційність

У травні 2019 року сенатор штату Нью-Йорк Кевін Томас представив один з найбільш революційних законопроектів у сфері конфіденційності даних. Вимоги були стандартними і включали можливість для мешканців отримувати доступ, виправляти, видаляти та зберігати свої персональні дані від третіх осіб.

Проте були додані більш розширені положення, такі як зобов’язання перед довіреними особами та право резидентів подавати позов проти компаній, якщо вони постраждали внаслідок порушення. Це приватне право на позов є одним із найбільших пунктів, що відрізняє від інших нормативних актів, і може спонукати споживачів шукати компанії, які не дотримуються вимог. Законопроект також ширший, ніж CCPA, і охоплює будь-яку компанію, яка володіє «конфіденційними даними жителів Нью-Йорка», без вимог щодо доходу для охоплених організацій.

Оскільки в двох штатах ухвалено закони, в інших запропоновано законопроекти, а в дев’яти штатах приймають нові закони про сповіщення про порушення даних, ми стаємо свідками початку масового зрушення до захисту даних споживачів і відповідальності підприємств, які їх контролюють та обробляють.

Щоб підтримувати відповідність, підприємства повинні знати про поточні закони, майбутні нормативні акти, які будуть працювати, а також можливість застосування різних стандартів у США. Створення процесів для обробки даних, перенесення даних і відображення даних, а також керування дозволом користувачів – це лише деякі з необхідних практик для компаній, які збирають персональні дані.