ПРИМЕЧАНИЕ. Эта статья предназначена для информирования наших читателей о законах США о конфиденциальности данных. Он никоим образом не предназначен для предоставления юридических консультаций или поддержки определенного курса действий. Для получения совета по вашей конкретной ситуации проконсультируйтесь со своим юрисконсультом.

В США появляется все больше и больше законов о конфиденциальности данных. Вот что вам нужно знать.

В США еще нет всеобъемлющего федерального закона о конфиденциальности данных. Помимо закона о конфиденциальности детей в Интернете (COPPA) и отраслевых нормативных актов, которые включают меры по обеспечению конфиденциальности данных (например, HIPAA ), вопросы конфиденциальности данных на федеральном уровне обычно решаются Федеральной торговой комиссией (FTC) всякий раз, когда она решает вмешаться. .

Однако на уровне штата было принято несколько всеобъемлющих законов о конфиденциальности данных . Независимо от того, применимы они к вашему бизнесу сегодня или нет, вам следует ознакомиться с этими законами, чтобы подготовиться к более широкому регулированию в будущем.

Давайте взглянем на законы США о конфиденциальности данных, которые могут предвещать грядущие события.

Закон Калифорнии о конфиденциальности потребителей

Закон Калифорнии о конфиденциальности потребителей ( CCPA ) вступил в силу 1 января 2020 года и является, безусловно, самым важным и влиятельным законом о конфиденциальности данных, когда-либо принятым в Соединенных Штатах. Вдохновленный в значительной степени знаменательным Общим регламентом ЕС по защите данных ( GDPR ), CCPA регулирует политику компании в области конфиденциальности данных и закрепляет за жителями штата новые права, в том числе:

• Право знать, какая личная информация собирается
• Право отказаться от продажи личной информации
• Право удалить личную информацию по запросу
• Право на равные услуги и цену (т. Е. Потребители не могут быть наказаны за осуществление прав в соответствии с CCPA)

CCPA определяет личную информацию как данные, которые «идентифицируют, относятся к, описывают, могут быть связаны или могут быть разумно связаны, прямо или косвенно, с конкретным потребителем или домохозяйством». В законопроект также включены биометрические, геолокационные и многие другие типы данных, что дает действительно исчерпывающее определение личной информации.

CCPA применяется к любой компании, которая соответствует одному или нескольким из следующих критериев:

• Годовой валовой доход превышает 25 миллионов долларов.
• Ежегодно обрабатывает личную информацию 50 000 и более потребителей в Калифорнии.
• Зарабатывает более половины своего годового дохода от продажи личной информации

Компании любого размера и местоположения должны уделять особое внимание этому второму пункту. Широкое определение личной информации в законе означает, что защищенная организация может принимать различные формы, включая IP-адрес. Даже малые предприятия могут быстро (и довольно легко) собрать информацию о 50 000 потребителей в Калифорнии.

Штрафы CCPA достигают 7500 долларов за каждую нарушенную запись, и закон также позволяет потребителям подавать в суд в ответ на нарушения (известное как частное право на иск). Правоприменение вступило в силу 1 июля; еще предстоит увидеть, насколько строго будет применяться закон.

Закон о защите данных штата Мэн

Закон о защите данных штата Мэн ( LD 946 ), известный как Закон о защите конфиденциальности информации о клиентах в Интернете , вступил в силу 1 июля 2020 года и ориентирован на поставщиков интернет-услуг (ISP). Закон штата Мэн занимает относительно уникальный неавтоматического в подходе к конфиденциальности данных ( в отличие от типичного выбирают из подхода). Другими словами: потребители должны выбрать в к возможности их данные будут проданы. Отсутствие действий означает, что данные не могут быть проданы.

LD 946 определяет личную информацию как идентифицирующую информацию, такую ​​как имя и государственный идентификационный номер. Счет также включает использование Интернета, такое как история просмотров, использование приложений, идентификаторы оборудования и IP-адреса, которые могут идентифицировать человека.

Закон запрещает интернет-провайдерам наказывать клиентов, которые отказывают в согласии, и запрещает интернет-провайдерам предлагать стимулы, такие как бесплатный месяц обслуживания, в обмен на предоставление согласия. В законе не говорится конкретно о частном праве на иск, вопрос, который в конечном итоге решит суд штата Мэн.

Закон Невады об отказе

Закон Невады об отказе от подписки ( SB220 ) вступил в силу в октябре 2019 года и регулирует веб-сайты и онлайн-сервисы, обрабатывающие данные потребителей Невады. Потребителям должна быть предоставлена ​​возможность отказаться от компаний, продающих их личную информацию; ответы на запросы об отказе от рассылки должны быть даны в течение 60 дней.

SB220 обновил закон штата Невада о нарушении данных 603A, в котором личная информация определяется как имя потребителя в сочетании с другими указанными незашифрованными элементами данных (например, государственными идентификационными номерами, медицинской информацией или другой информацией, которая позволяет получить доступ к онлайн-аккаунту).

Генеральный прокурор Невады может потребовать судебного запрета или наложить штраф в размере 5000 долларов за нарушение. Закон прямо запрещает частное право на иск.

Закон о брокере данных штата Вермонт

Хотя это не совсем исчерпывающая информация, H764 Вермонта был первым законом США о конфиденциальности данных, принятым исключительно для управления брокерами данных. Закон, принятый в мае 2018 года, определяет брокеров данных как любую компанию, которая «сознательно собирает и продает или лицензирует третьим сторонам личную информацию потребителя, с которым компания не имеет прямых отношений».

За исключением нескольких исключений, любой бизнес, который соответствует определению брокера данных, должен зарегистрироваться в государстве или столкнуться с штрафами до 10 000 долларов в год. Закон запрещает получение личных данных «с помощью мошеннических средств или с намерением совершить противоправные действия» и делает незаконным взимание платы за замораживание кредита после нарушения данных.

H764 улучшает стандарты безопасности брокера данных и предоставляет подробное определение личной информации, которая включает биометрические данные, информацию о ближайших членах семьи и любую информацию, которая может обоснованно идентифицировать потребителя. Он не допускает права потребителя на отказ или частное право на иск.

Новые законы США о конфиденциальности данных и что с ними делать

Новое поколение законов о конфиденциальности данных, нацеленных на господство в технологиях, основанных на искусственном интеллекте и машинном обучении, возникает в США.

Иллинойс недавно принял закон, регулирующий использование ИИ в процессе найма, а штат Вашингтон принял закон, регулирующий использование распознавания лиц государственными и местными органами власти. Если он пройдет, CPRA Калифорнии будет управлять автоматизированной технологией принятия решений и потребует раскрытия логики, используемой для принятия различных автоматизированных решений.

Даже если ваш бизнес еще не подпадает под действие какого-либо из этих законов о конфиденциальности данных, мы рекомендуем рассматривать их как предварительную версию аналогичных местных, государственных или федеральных законов, которые в конечном итоге повлияют на все предприятия США.

Вот несколько рекомендаций, которые помогут облегчить соблюдение, когда придет время:

• Проведите аудит своих систем, чтобы определить, какие типы данных о потребителях вы собираете, где они хранятся и кто имеет к ним доступ.
• Поскольку многие законы США о конфиденциальности основаны на практике GDPR, ищите программное обеспечение, которое обеспечивает соответствие GDPR .
• Назначьте сотрудника по защите данных, который поможет вам сориентироваться в постоянно меняющихся правилах конфиденциальности.
• Изучите новые и предлагаемые законы о конфиденциальности данных, прежде чем внедрять новые технологии, такие как биометрическая аутентификация или программное обеспечение для набора персонала с помощью ИИ.
• Регулярно просматривайте, обновляйте и распространяйте политику конфиденциальности вашей компании.

Вам нужно провести аудит ваших данных, чтобы обеспечить соблюдение
новых законов США о конфиденциальности данных?

Воспользуйтесь нашим гидом