Закон о персональных данных с 1 июля: Статья 1 \ КонсультантПлюс

В каких штатах США действуют законы о конфиденциальности данных?

Согласно исследованию DataGrail 2022 года, восемь из десяти американцев согласны с тем, что федеральный закон должен защищать их личные данные.

В 2018 году Европейский союз возглавил процесс разработки правил защиты данных потребителей с помощью Общего регламента по защите данных (GDPR). Соединенным Штатам еще предстоит разработать федеральное законодательство о конфиденциальности данных, но некоторые штаты сами справились с этой задачей.

Если ваша компания в настоящее время ведет бизнес в Соединенных Штатах или планирует вести бизнес в будущем, вам необходимо быть в курсе последних изменений в законодательстве США о конфиденциальности. Чтобы упростить эту задачу, ниже мы разберем наиболее известные законы США о конфиденциальности данных по штатам.

Что такое законы о конфиденциальности данных?

Законы о конфиденциальности данных регулируют, как компании должны управлять и защищать данные потребителей, когда они собираются, используются или передаются. Как правило, законы о конфиденциальности данных часто стремятся предоставить потребителям право на:

• Определить, можно ли собрать их данные
• Отказаться от продажи своих данных третьим лицам
• Доступ и просмотр собранных о них данных
• Обеспечить точность своих сохраненных личных данных
• Запрос на удаление их данных
• Получать оперативные оповещения, если их данные скомпрометированы во время утечки данных

Соблюдение строгих стандартов конфиденциальности и защиты данных поможет вам соблюдать закон и завоевать доверие ваших клиентов. Напротив, нарушение соответствующих законов о конфиденциальности данных в штатах, где вы ведете бизнес, может привести к юридическим последствиям, дорогостоящим штрафам и репутационному ущербу.

Штаты США с комплексными законами о конфиденциальности данных

По состоянию на 2022 г. только в пяти штатах США действуют всеобъемлющие законы о конфиденциальности данных:

• Калифорния
• Колорадо
• Коннектикут
• Юта
• Вирджиния

Эти штаты дают жителям право получать свои личные данные от компаний, запрашивать их удаление и отказываться от их продажи третьим лицам. Они также заставляют компании публиковать четкие политики конфиденциальности, в которых подробно описываются типы личной информации, которую они собирают о своих потребителях, с кем они делятся этими данными и как потребители могут контролировать свои данные.

Давайте подробнее рассмотрим законы каждого из этих штатов о конфиденциальности данных:

Калифорния

Калифорния возглавила разработку законов о конфиденциальности данных потребителей в Соединенных Штатах. В результате в Золотом штате в настоящее время принято больше законов о конфиденциальности данных, чем в любой другой стране — как по количеству, так и по строгости защиты.

Вот некоторые из законов о конфиденциальности данных, которые должны соблюдать компании, работающие в Калифорнии:

• Закон Калифорнии о защите прав потребителей от 2018 г. (CCPA) — CCPA Калифорнии позволяет жителям Калифорнии просить предприятия раскрывать тип информации, которую они собирают о них, почему эта информация собирается, а также источник сбора. Он также предоставляет потребителям право на удаление их личной информации и отказ от ее продажи. Компании не могут дискриминировать потребителей на основании их запросов на отказ.
• Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) — CPRA предоставляет потребителям Калифорнии даже больше контроля над своими данными. Его основные положения включают предоставление потребителям возможности:
  
  • Запретить предприятиям делиться своей личной информацией
  • Исправление неточной личной информации
  • Запретить компаниям использовать конфиденциальные данные и личную информацию (например, расу, сексуальную ориентацию, точную геолокацию и т. д.)
    

Кроме того, этот закон увеличивает максимальные штрафы за нарушения в отношении потребителей в возрасте 16 лет и младше и запрещает компаниям хранить личные данные дольше, чем это необходимо.

Этот закон вступит в силу 1 января 2023 . Калифорнийскому агентству по защите конфиденциальности будет поручено обеспечить его соблюдение.

• Кал. Гражданский Code §§ 1798.99.80 et seq (Регистрация брокера данных) — Регистрация брокера данных обязывает брокеров данных регистрироваться в Генеральном прокуроре. Они также должны предоставить определенную информацию, которая будет размещена на сайте Генерального прокурора. Наконец, он определяет, какие компании считаются брокерами данных в соответствии с законом. Если брокеры данных не соблюдают требования регистрации брокеров данных, они могут столкнуться с комиссией или штрафами.
• Закон штата Калифорния о правилах проектирования, соответствующих возрасту
  

Некоторые другие законы, принятые в Калифорнии в отношении безопасности данных и конфиденциальности, включают:

• Calif. Bus. & Профессиональный Кодекс §§ 22580-22582
• Кал. правительство Код §§ 6254, 6267 и 6276.28
• Кал. Гражданский кодекс § 1798.90
• Калифорнийский автобус. & Профессиональный кодекс § 22575
• CalOPPA
• Кал. Гражданский Кодекс §§ 1798.130(5), 1798.135(a)(2)(A)

Колорадо

Комплексный закон штата Колорадо о конфиденциальности данных известен как CPA или Colo. Rev. Stat. § 6-1-1301 и след.

Этот закон добавляет Закон штата Колорадо о конфиденциальности к Закону штата Колорадо о защите прав потребителей. В нем подробно описаны права потребителей на неприкосновенность частной жизни и обязанности компаний по защите персональных данных. Он также наделяет Генерального прокурора и окружных прокуроров полномочиями по обеспечению соблюдения закона. Наконец, этот закон четко определяет любые термины, относящиеся к закону, чтобы устранить любую путаницу.

Закон вступает в силу с 1 июля 2023 года.

Коннектикут

Основной закон Коннектикута о конфиденциальности данных известен как Конфиденциальность персональных данных и онлайн-мониторинг, или 2022 S.B. 6 или Публичный закон № 22-15.

Этот закон устанавливает стандарты того, как компании должны контролировать и обрабатывать персональные данные жителей Коннектикута. Как и сопоставимые законы штата о данных, он дает жителям право запрашивать копию своих личных данных, исправлять любые неточности и вообще отказываться от обработки личных данных в компании. Он вступит в силу 1 июля 2023 года. 

Жители Коннектикута также находятся под защитой Conn. Gen. Stat. § 42-471, который требует, чтобы организации, владеющие личной информацией о потребителях, защищали ее от неправомерного использования третьими лицами и удаляли ее при утилизации. Этот закон также требует, чтобы компании, которые собирают номера социального страхования, публично публиковали политики защиты конфиденциальности.

Юта

Юта 2022 С.Б. 227, известный как Закон штата Юта о конфиденциальности потребителей, дает потребителям право знать: 

• Какие данные о себе собирают предприятия
• Как используются их данные
• Намерены ли предприятия продавать свои данные третьим сторонам

Как и в случае с другими всеобъемлющими законами штата, которые мы обсуждали до сих пор, этот закон позволяет потребителям получать доступ к своим данным и удалять их, а также отказываться от сбора данных. Он также дает компаниям четкие рекомендации о том, как они должны защищать данные потребителей.

После вступления в силу закона штата Юта о конфиденциальности 31 декабря 2023 г. , он будет приведен в исполнение Генеральным прокурором путем наложения штрафов.

Вирджиния

Последним штатом в нашем списке с действующим всеобъемлющим законом о конфиденциальности данных является Вирджиния. Закон штата о защите данных потребителей (2021 HB 2307/2021 SB 1392) достаточно подробен. В нем изложены четкие правила для компаний, ведущих бизнес в Вирджинии, в отношении того, как они могут контролировать и обрабатывать данные. Это также дает потребителям право на доступ, удаление и исправление своих данных, а также на отказ от обработки персональных данных в рекламных целях.

Этот закон применяется только к негосударственным компаниям, которые:

• Контролируют или обрабатывают данные от 100 000 и более потребителей
• Получать более половины своего валового дохода от продажи персональных данных и контролировать и обрабатывать данные 25 000 или более потребителей

Этот закон вступит в силу 1 января 2023 . Он будет обеспечиваться Генеральным прокурором исключительно при финансировании этих усилий Фондом защиты прав потребителей. Вирджиния стала вторым штатом в США, принявшим всеобъемлющее законодательство о конфиденциальности9.

0003

Хотите освоить основы конфиденциальности данных?
Прочтите Учебник по конфиденциальности

Штаты США с ограниченными законами о конфиденциальности данных

Хотя эти пять штатов являются единственными, где на данный момент приняты всеобъемлющие законы о конфиденциальности данных, есть и другие штаты, в которых действуют умеренные меры защиты, такие как Невада.

Невада

NRS штата Невада § 603A.300 требует, чтобы веб-сайты позволяли пользователям штата Невада отказаться от продажи их личной информации третьим лицам. Генеральный прокурор имеет право применять судебные запреты и штрафы за любые нарушения.

Невада 2021 С.Б. 260, гл. 292 также применяется в этом состоянии. Этот закон устанавливает определенные исключения и запрещает брокерам данных продавать информацию о потребителях против их воли.

Другие законы штата Невада о безопасности данных и конфиденциальности:

• NRS § 205.498
• NRS § 603A. 340

Другие законы США о защите прав потребителей

Еще в десяти штатах действуют законы о защите данных, хотя они довольно ограничены по сравнению с вышеперечисленными. Например, эти законы могут указывать только то, как могут использоваться данные детей или как могут собираться данные электронных книг.

Эти штаты США с ограниченными законами о конфиденциальности данных включают:

• Вермонт – 9 VSA § 2446-2447
• Миннесота – штат Миннесота. §§ 325M.01 до .09
• Мэн – 35-A MRSA § 9301 
• Делавэр – Дел. Код § 1204C и Дел. Код Тит. 6 § 205C
• Аризона – Ariz. Rev. Stat. § 41-151.22
• Миссури – Mo. Rev. Stat. §§ 182.815, 182.817
• Орегон – ORS § 646.607
• Гавайи – 2021 H.B. 1253
• Нью-Йорк – Гражданский. РТС. Код § 52-C*2
• Теннесси – Кодекс Теннесси § 10-7-512

ADPPA — Предлагаемый федеральный закон, который заменит собой существующие постановления штата

Хотя в настоящее время в США нет закона о конфиденциальности и защите данных, принятого на федеральном уровне, вскоре это может измениться. Законопроект, известный как Американский закон о защите конфиденциальности данных (ADPPA), в настоящее время застопорился в законодательном процессе. Если этот или другой федеральный закон США о конфиденциальности данных будет принят, он заменит существующие законы штата и потребует единообразного соблюдения для всех компаний, ведущих бизнес в США.

Однако федеральный закон не означает, что правила и ограничения конфиденциальности на уровне штата исчезают. Многие из действующих законов штатов о конфиденциальности данных могут оставаться для обеспечения дополнительной защиты, выходящей за рамки федерального регулирования, в зависимости от окончательной структуры федерального законопроекта.

Как компании могут обеспечить соответствие требованиям?

Как видите, в каждом штате действуют свои правила и положения о конфиденциальности, когда речь идет о сборе и обработке данных. К сожалению, соблюдать эти законы может быть сложно, если у вас нет нужных инструментов.

Один из способов с легкостью соблюдать требования — использовать DataGrail, комплексную программную систему управления конфиденциальностью данных. С платформой конфиденциальности данных DataGrail вы можете автоматизировать обеспечение конфиденциальности, уменьшая зависимость от ручного труда и повышая соответствие требованиям. По мере того, как ваш бизнес растет и расширяется до новых состояний, DataGrail может гарантировать, что управление вашей конфиденциальностью будет соответствовать поставленной задаче.

Узнайте, как DataGrail может оптимизировать ваши усилия по управлению соответствием данных уже сегодня.

---

Источники:

Forbes. 50 статистических данных, показывающих, почему компаниям необходимо отдавать приоритет конфиденциальности потребителей.

https://www.forbes.com/sites/blakemorgan/2020/06/22/50-stats-showing-why-companies-need-to-prioritize-consumer-privacy/?sh=644054737f61

Intersoft Консалтинг. Общее положение о защите данных.

https://gdpr-info.eu

Законодательная информация штата Калифорния. ЗАГОЛОВОК 1.81.5. Закон Калифорнии о конфиденциальности потребителей от 2018 г. [1798.100 – 1798.199.100].

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article=

Международная ассоциация профессионалов в области конфиденциальности. CCPA и CPRA.

https://iapp.org/resources/topics/ccpa-and-cpra/

Законодательная информация штата Калифорния. НАЗВАНИЕ 1.81.48. Регистрация брокера данных [1798.99.80 — 1798.99.88].

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.48.

Законодательная информация штата Калифорния. ГЛАВА 22.1. Права на неприкосновенность частной жизни несовершеннолетних Калифорнии в цифровом мире [22580 – 22582].

https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?sectionNum=22580&lawCode=BPC

Законодательная информация штата Калифорния. СТАТЬЯ 1. Общие положения [6250 – 6270.7].

https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=GOV&sectionNum=6254.

Законодательная информация штата Калифорния. СТАТЬЯ 1. Общие положения [6250 – 6270.7].

https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=GOV&sectionNum=6267.

Законодательная информация штата Калифорния. СТАТЬЯ 2. Другие освобождения от раскрытия информации [6275 – 6276.48].

https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=GOV&sectionNum=6276.28.

Законодательная информация штата Калифорния. НАЗВАНИЕ 1.81.15. Закон о конфиденциальности читателей [1798. 90 – 1798.90.05].

https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?sectionNum=1798.90&lawCode=CIV

Законодательная информация штата Калифорния. ГЛАВА 22. Требования к конфиденциальности в Интернете [22575 – 22579].

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=BPC&division=8.&title=&part=&chapter=22.&article=

Законодательная информация Калифорнии. ГЛАВА 22. Требования к конфиденциальности в Интернете [22575 – 22579].

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=BPC&division=8.&title=&part=&chapter=22.&article=

Законодательная информация Калифорнии. ЗАГОЛОВОК 1.81.5. Закон Калифорнии о конфиденциальности потребителей от 2018 г. [1798.100 – 1798.199.100].

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article=

Законодательная информация штата Калифорния. ЗАГОЛОВОК 1.81.5. Закон Калифорнии о конфиденциальности потребителей от 2018 г. [1798.100 – 1798.199.100].

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article=

Colorado.gov. ЗАКОН СЕНАТА 21-190.

https://leg.colorado.gov/sites/default/files/2021a_190_signed.pdf

Штат Коннектикут. ЗАКОН О КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОНЛАЙН-МОНИТОРИНГЕ.

https://www.cga.ct.gov/2022/amd/S/pdf/2022SB-00006-R00SA-AMD.pdf

Юстиция Закон США. Общий устав штата Коннектикут, 2018 г. Раздел 42.

https://law.justia.com/codes/connecticut/2018/title-42/chapter-743dd/section-42-471/

Законодательное собрание штата Юта. С.Б. 227 Закона о защите прав потребителей.

https://le.utah.gov/~2022/bills/static/SB0227.html

Законодательная информационная система Вирджинии. HB 2307 Закон о защите данных потребителей; права на персональные данные потребителя и др.

https://lis.virginia.gov/cgi-bin/legp604.exe?ses=212&typ=bil&val=Hb2307

Законодательная информационная система Вирджинии. SB 1392 Закон о защите данных потребителей; права на личные данные потребителя и др.

https://lis.virginia.gov/cgi-bin/legp604.exe?212+sum+SB1392

Штат Невада. ГЛАВА 603A – БЕЗОПАСНОСТЬ И КОНФИДЕНЦИАЛЬНОСТЬ ЛИЧНОЙ ИНФОРМАЦИИ.

https://www.leg.state.nv.us/NRS/NRS-603A.html#NRS603ASec300

Законодательное собрание штата Невада. СБ260.

https://www.leg.state.nv.us/App/NELIS/REL/81st2021/Bill/7805/Overview

Штат Невада. ГЛАВА 205 – ПРЕСТУПЛЕНИЯ ПРОТИВ ИМУЩЕСТВА.

https://www.leg.state.nv.us/NRS/NRS-205.html

Husch Blackwell. Комплексный ресурс для отслеживания законодательства штата США о конфиденциальности.

https://www.huschblackwell.com/2022-state-privacy-law-tracker

Что вам следует знать о Законе Колорадо о конфиденциальности: Коли Джессен

Губернатор Колорадо Джаред Полис 8 июля 2021 года подписал Закон Колорадо о конфиденциальности («CPA»), в результате чего Колорадо стал третьим штатом (после Калифорнии и Вирджинии), принявшим всеобъемлющий закон о конфиденциальности для защиты своих жителей. CPA вступит в силу 1 июля 2023 года.

CPA будет применяться к юридическим лицам, ведущим бизнес в Колорадо или предоставляющим продукты или услуги, ориентированные на жителей Колорадо, которые либо (1) контролируют или обрабатывают персональные данные 100 000 или более потребителей. в течение года или (2) контролировать или обрабатывать персональные данные 25 000 или более потребителей и получать доход или скидку на цену товаров или услуг от продажи персональных данных. Применимого порога дохода нет. «Потребители» определяются в CPA как жители Колорадо, действующие в индивидуальном или домашнем контексте. CPA исключает лиц, действующих в коммерческом контексте или в контексте занятости, претендентов на работу и бенефициаров кого-либо, действующего в контексте занятости, из своего определения «потребитель». «Персональные данные» в соответствии с CPA определяются как «информация, которая связана или может быть обоснованно связана с идентифицированным или идентифицируемым лицом». Требования CPA не распространяются на обезличенные данные или общедоступную информацию.

Чтобы соответствовать CPA, предприятия должны предоставить потребителям четкие уведомления о конфиденциальности и провести оценку защиты данных для любой обработки персональных данных, которая представляет повышенный риск причинения вреда потребителям. CPA не предлагает особых указаний относительно того, что может или не может квалифицироваться как «повышенный риск причинения вреда», но генеральный прокурор Колорадо может обнародовать уточняющие правила до того, как CPA вступит в силу.

Права, предоставляемые потребителям в соответствии с CPA, включают право отказаться от обработки персональных данных для целевой рекламы или для продажи таких персональных данных. CPA предусматривает «выбираемый пользователем универсальный механизм отказа», который подпадающие под его действие юридические лица могут внедрить после вступления CPA в силу; однако с 1 июля 2024 г. универсальный механизм отказа станет обязательным. У CPA нет четких указаний относительно ожиданий от механизма отказа, но генеральный прокурор Колорадо обнародует правила с подробным описанием необходимых технических спецификаций к 1 июля 2023 года. Удобный для пользователя механизм должен позволять потребителям свободно и недвусмысленно выбирать отказ. обработки персональных данных. Простой настройки по умолчанию будет недостаточно.

В дополнение к праву на отказ, потребителям будет предоставлено право доступа к определенным личным данным — и получить их в переносимом, удобном для использования формате — и право исправлять неточности и удалять касающиеся их личные данные. Как только потребитель отправляет запрос на доступ, исправление, удаление или предоставление персональных данных, принимающая организация должна ответить на запрос потребителя в течение 45 дней с момента его получения. Потребители будут иметь право обжаловать решение организации.

Колорадо стал вторым штатом в 2021 году, принявшим всеобъемлющее законодательство о конфиденциальности данных, после того как ранее в этом году Вирджиния приняла Закон о защите данных потребителей (CDPA). Калифорния также недавно приняла новый закон о конфиденциальности данных путем голосования — Закон штата Калифорния о правах на конфиденциальность («CPRA»), который расширит объем защиты, предоставляемой в настоящее время жителям Калифорнии Законом Калифорнии о конфиденциальности потребителей от 2018 года.

A Сравнение новых законов о конфиденциальности данных в Колорадо, Вирджинии и Калифорнии

Во многих отношениях CPA похож на CDPA Вирджинии, но между всеми тремя законами о конфиденциальности есть различия, о которых должен знать каждый, кто ведет бизнес во всех трех штатах.

Время

• Акты Калифорнии и Вирджинии вступит в силу 1 января 2023 года. не предусматривают права частного иска. Генеральный прокурор и окружные прокуроры будут иметь исключительные полномочия по обеспечению соблюдения CPA.
• Закона Калифорнии, однако, , предоставляет частное право на иск, и CPRA создает новое государственное агентство, Калифорнийское агентство по защите конфиденциальности, для обеспечения соблюдения Закона.

Сфера действия

• Все три Закона будут применяться к компаниям, которые контролируют или обрабатывают персональные данные 100 000 или более потребителей в год.
• CPA также будет применяться к предприятиям, которые контролируют или обрабатывают персональные данные 25 000 или более потребителей и получать доход или скидку на цену товаров или услуг от продажи персональных данных . В отличие от этого, Закон Вирджинии будет применяться к предприятиям, которые контролируют или обрабатывают персональные данные 25 000 или более жителей и получают более 50 процентов своего валового дохода от продажи персональных данных .
• Закон штата Калифорния также будет применяться к предприятиям, чей годовой валовой доход превышает 25 миллионов долларов США или которые получают 50 или более процентов своего годового дохода от продажа или обмен личной информацией потребителей.
• * Обратите внимание, что все три закона предусматривают исключения для определенных предприятий, которые уже регулируются другими федеральными законами.

Права потребителей

• Все три закона обеспечивают схожие права потребителей, включая специальную защиту «конфиденциальной» личной информации, такой как раса, религия, сексуальная ориентация и т. д. обработка конфиденциальной личной информации. Это положение о согласии не включено в закон штата Калифорния.
• Обязательный «выбираемый пользователем универсальный механизм отказа» CPA не требуется ни в Законе Калифорнии, ни в Законе Вирджинии.

Соответствие требованиям

• Компании, на которые распространяются новые законы о конфиденциальности данных, должны:
  • Внедрять меры кибербезопасности;
  • Создать и сообщить потребителям процедуру, с помощью которой потребители могут подать запрос относительно своих личных данных и впоследствии обжаловать решение;
  • Предоставлять четкое и заметное уведомление, информирующее потребителей о том, что они имеют право отказаться от целевой рекламы и продажи своих личных данных;
  • Установить выбранный пользователем универсальный механизм отказа до 1 июля 2024 г.;
  • Обновите свою Политику конфиденциальности, чтобы объяснить сбор и использование данных;
  • Обновить свои контракты с третьими лицами, чтобы убедиться, что они соблюдают законы;
  • Получите информированное согласие потребителей перед сбором конфиденциальных данных; и
  • Установить процедуру определения времени проведения оценки защиты данных.

    No related posts.