Utrzymanie zgodności z RODO leży nie tylko w najlepszym interesie Twoich klientów, ale w najlepszym interesie Twojej firmy. Horrory o niezgodności i naruszeniach danych mogą towarzyszyć wysokie grzywny. W zależności od wielkości Twojej firmy, grzywny mogą wynosić od 11 do 21 milionów USD lub 2 – 4% rocznego globalnego obrotu.

RODO w USA?

Ogólne rozporządzenie w sprawie ochrony danych w Unii Europejskiej („RODO”) jest znane jako najtrudniejsze prawo prywatności i bezpieczeństwa na świecie, ponieważ ma szeroki zasięg i nakłada duże grzywny wobec tych, którzy naruszają jego standardy prywatności i bezpieczeństwa (które są dość szerokie). Wpływ RODO był już odczuwany w Stanach Zjednoczonych, odkąd wszedł w życie w 2018 roku, a teraz u.S. Ustawodawcy w wielu stanach poruszają wprowadzenie podobnych przepisów. Kalifornijska ustawa o ochronie konsumentów („CCPA”) była pierwszym przykładem wpływu RODO w Stanach Zjednoczonych, ponieważ Kalifornia wprowadziła ustawę i przepisy, które pod względem RODO odzwierciedlają RODO pod wieloma względami. Teraz Virginia wprowadziła w ruch coś, co może być całorocznym ciągiem państw wprowadzających podobne przepisy. W szczególności Waszyngton i Nowy Jork zaproponowały przepisy zgodnie z ramami CCPA. W tym artykule porówna się CCPA z nowo uchwalonymi i proponowanymi przepisami dotyczącymi prywatności w Stanach Zjednoczonych.

2 marca 2021 r. Wirginia uchwaliła swoją ustawę o ochronie danych konsumenckich („CDPA”), drugie kompleksowe prawo dotyczące prywatności danych konsumenckich w Stanach Zjednoczonych. CDPA wejdzie w życie 1 stycznia 2023. CDPA dotyczy osób lub podmiotów prowadzących działalność w Wirginii lub produkują produkty lub usługi oferowane mieszkańcom Virginia oraz że „kontrolują lub przetwarzają” dane osobowe. .

CDPA ściśle przestrzega ramy CCPA; Istnieje jednak kilka kluczowych różnic:

• CDPA nie zawiera prywatnego prawa do działania. Raczej wszystkie działania muszą być wniesione przez prokuratora generalnego w Wirginii.
• CDPA, podobnie jak CCPA, zwalnia dane, które są już regulowane przez niektóre wymienione przepisy federalne, takie jak HIPAA, GLBA, FCRA, FERPA i COPPA. Jednak zgodnie z CDPA zwolnienie GLBA jest szersze, ponieważ całkowicie zwalnia instytucje finansowe, a nie tylko podmioty danych. Ponadto istnieją zwolnienia oparte na danych dla Ustawy o sprawiedliwej sprawozdawczości kredytowej, ustawa o ochronie prywatności kierowcy oraz Federalna Ustawa o prawach i prywatności oraz organizacje non-profit.
• CDPA zawiera wymóg dotyczący przetwarzania poufnych danych osobowych, chyba że jest zwolniony.
• CDPA definiuje „konsument” bardziej wąsko niż CCPA. CDPA wyklucza osoby działające w kontekście komercyjnym lub zatrudnienia.
• Zgodnie z CDPA „sprzedaż danych osobowych” wymaga, aby wynagrodzenie było pieniężne, aby zakwalifikować się jako sprzedaż danych. Przeciwnie, CCPA zezwala na pieniężne lub „inne cenne rozważenie.”

Waszyngtonowa ustawa o ochronie prywatności, Senat 6281 („WPA”), zaproponowano ustawodawstwo, które odzwierciedlają CCPA. Podobnie jak RODO i CCPA, WPA zwiększa prawa konsumentów w odniesieniu do ich danych osobowych i zapewnia przejrzyste firmy w zakresie gromadzenia i przetwarzania danych konsumenckich. Dodatkowo WPA umożliwia konsumentom rezygnację z sprzedaży ich danych osobowych. WPA miałaby zastosowanie do firm, których produkty lub usługi są ukierunkowane na konsumentów z Waszyngtonu, jeśli firma: (1) kontroluje lub przetwarza dane ponad 100 000 konsumentów lub (2) wywodzi co najmniej 50% przychodów ze sprzedaży danych osobowych I przetwarza lub kontroluje dane osobowe ponad 25 000 konsumentów.

WPA i CCPA mają ważne podobieństwa, takie jak: (1) 30-dniowy okres leczenia; (2) biznes musi usunąć dane osobowe konsumenta na ich żądanie; oraz (3) odpowiedzialność za firmę za proaktywność w informowaniu konsumentowi, jakie konkretne rodzaje danych osobowych gromadzą firma i jak wykorzystywane są takie dane. Istnieją jednak istotne różnice między nimi:

• WPA ogranicza definicję „danych osobowych” do informacji dotyczących „zidentyfikowanej lub możliwej do zidentyfikowania osoby naturalnej”, podczas gdy definicja CCPA pozostaje szeroka i dotyczy informacji powiązanych z „konkretnym gospodarstwem domowym lub gospodarstwem domowym.”
• WPA wyraźnie zapobiega lokalnym przepisom, rozporządzeniom i przepisom dotyczącym przetwarzania danych osobowych przez kontrolerów lub procesorów. CCPA nie.
• WPA, w przeciwieństwie do CCPA, nie zawiera wymogu progu przychodów.
• WPA, w przeciwieństwie do CCPA, obejmuje przepis dotyczący „dyskryminacji”, który powstrzymuje firmy przed podejmowaniem ostatecznych zautomatyzowanych decyzji.
• WPA ogranicza sposób, w jaki można wykorzystać technologię rozpoznawania twarzy. (Nowe zobowiązania do rozpoznawania twarzy w firmach korzystających z rozpoznawania twarzy, jeśli zostanie wprowadzone, przekroczyły obecne obowiązki, z którymi spółki, które spółki, na podstawie biometrycznej ustawy o prywatności Waszyngtonu (RCW 19.375).)

Proponowana ustawa o nowojorskim

Z wszystkich proponowanych przepisów dotyczących prywatności, New York Privacy Act (S5642) („NyPA”) jest prawdopodobnie najbardziej oczekiwana, ponieważ jej język jest znacznie Bo

Czy RODO ma znaczenie w USA

Utrzymanie zgodności z RODO to nie tylko u Twoich klientów’ Najlepsze interesy, ale w Twojej firmie’S interesu najlepszego. Horrory o niezgodności i naruszeniach danych mogą towarzyszyć wysokie grzywny. .

RODO w USA? Nowe ustawodawstwo stanowe zbliża się do rzeczywistości

Unia Europejska’S Ogólne rozporządzenie w zakresie ochrony danych (“”) jest znany jako najtrudniejsze prawo prywatności i bezpieczeństwa na świecie, ponieważ ma szeroki zasięg i nakłada ciężkie grzywny wobec tych, którzy naruszają jego standardy prywatności i bezpieczeństwa (które są dość szerokie). Wpływ RODO był już odczuwany w Stanach Zjednoczonych, odkąd wszedł w życie w 2018 roku, a teraz u.S. Ustawodawcy w wielu stanach poruszają wprowadzenie podobnych przepisów. Kalifornijska ustawa o ochronie konsumentów (“CCPA”) był pierwszym przykładem RODO’S Wpływ w Stanach Zjednoczonych, gdy Kalifornia wprowadziła ustawę i przepisy, które pod względem GDPR odzwierciedlają GDPR. Teraz Virginia wprowadziła w ruch coś, co może być całorocznym ciągiem państw wprowadzających podobne przepisy. W szczególności Waszyngton i Nowy Jork zaproponowały przepisy zgodnie z ramami CCPA. W tym artykule porówna się CCPA z nowo uchwalonymi i proponowanymi przepisami dotyczącymi prywatności w Stanach Zjednoczonych.

Nowo uchwalone i proponowane akty prywatności:

Nowo uchwalona ustawa z Wirginii

2 marca 2021 r. Wirginia uchwaliła ustawę o ochronie danych konsumentów (“CDPA”), drugie kompleksowe prawo dotyczące prywatności danych konsumenckich w Stanach Zjednoczonych. CDPA wejdzie w życie 1 stycznia 2023. CDPA dotyczy osób lub podmiotów prowadzących działalność w Wirginii lub produkują produkty lub usługi oferowane mieszkańcom Virginia i to “kontrola lub proces” dane osobiste. Ustawa dotyczy firm, które (1) kontrolują lub przetwarzają dane osobowe co najmniej 100 000 konsumentów lub (2) kontrolują lub przetwarzają dane co najmniej 25 000 mieszkańców Virginii, które również uzyskują 50% przychodów brutto ze sprzedaży danych osobowych.

CDPA ściśle przestrzega ramy CCPA; Istnieje jednak kilka kluczowych różnic:

• CDPA nie zawiera prywatnego prawa do działania. Raczej wszystkie działania muszą być wniesione przez prokuratora generalnego w Wirginii.
• CDPA, podobnie jak CCPA, zwalnia dane, które są już regulowane przez niektóre wymienione przepisy federalne, takie jak HIPAA, GLBA, FCRA, FERPA i COPPA. . Ponadto istnieją zwolnienia oparte na danych dla Ustawy o uczciwej sprawozdawczości kredytowej, kierowca’Ustawa o ochronie prywatności oraz ustawa o prawach i prywatności federalnej oraz organizacje non -profit.
• CDPA zawiera wymóg dotyczący przetwarzania poufnych danych osobowych, chyba że jest zwolniony.
• CDPA definiuje “konsument” bardziej wąsko niż CCPA. CDPA wyklucza osoby działające w kontekście komercyjnym lub zatrudnienia.
• Pod CDPA, “” wymaga, aby wynagrodzenie było pieniężne w celu zakwalifikowania się jako sprzedaż danych. Przeciwnie, CCPA pozwala na pieniężne lub “Inne cenne rozważenie.”

Proponowana ustawa Waszyngtonu

The Washington Privacy Act, Senate Bill 6281 (“WPA”), jest proponowane przepisy, które odzwierciedlają CCPA. Podobnie jak RODO i CCPA, WPA zwiększa konsumentów’ Prawa dotyczące ich danych osobowych i zapewnia przejrzyste firmy w zakresie gromadzenia i przetwarzania danych konsumenckich. Dodatkowo WPA umożliwia konsumentom rezygnację z sprzedaży ich danych osobowych. WPA miałaby zastosowanie do firm, których produkty lub usługi są ukierunkowane na konsumentów z Waszyngtonu, jeśli firma: (1) kontroluje lub przetwarza dane ponad 100 000 konsumentów lub (2) wywodzi co najmniej 50% przychodów ze sprzedaży danych osobowych I przetwarza lub kontroluje dane osobowe ponad 25 000 konsumentów.

WPA i CCPA mają ważne podobieństwa, takie jak: (1) 30-dniowy okres leczenia; (2) Biznes musi usunąć konsumenta’S dane osobowe na ich żądanie; oraz (3) odpowiedzialność za firmę za proaktywność w informowaniu konsumentowi, jakie konkretne rodzaje danych osobowych gromadzą firma i jak wykorzystywane są takie dane. Istnieją jednak istotne różnice między nimi:

• WPA ogranicza “dane osobiste” Definicja informacji dotyczących “zidentyfikowana lub możliwe do zidentyfikowania osobę naturalną,” podczas gdy definicja CCPA pozostaje szeroka i dotyczy informacji powiązanych z “.”
• WPA wyraźnie zapobiega lokalnym przepisom, rozporządzeniom i przepisom dotyczącym przetwarzania danych osobowych przez kontrolerów lub procesorów. CCPA nie.
• WPA, w przeciwieństwie do CCPA, nie zawiera wymogu progu przychodów.
• WPA, w przeciwieństwie do CCPA, obejmuje “dyskryminacja” Zapewnienie, które powstrzymuje firmy przed podejmowaniem ostatecznych zautomatyzowanych decyzji.
• WPA ogranicza sposób, w jaki można wykorzystać technologię rozpoznawania twarzy. (Nowe zobowiązania do rozpoznawania twarzy wobec firm korzystających z rozpoznawania twarzy, w przypadku uchwalenia, przekraczają obecne obowiązki, z którymi stoją spółki na mocy Waszyngtonu’S Biometryczne prawo prywatności (RCW 19.375).)

Proponowana ustawa o nowojorskim

Z wszystkich proponowanych przepisów dotyczących prywatności, New York Privacy Act (S5642) (“Nypa”) jest prawdopodobnie najbardziej oczekiwany, ponieważ jego język jest znacznie odważniejszy niż CCPA. NYPA dotyczy szeroko “Podmioty prawne, które prowadzą działalność w Nowym Jorku lub produkują produkty lub usługi, które są celowo skierowane do mieszkańców Nowego Jorku.” Przy tak szerokim języku NYPA wydaje się dostosować do jak największej liczby firm, jednocześnie pomijając język progowy przychodów, jak widać w CCPA.

Chociaż NYPA może się zmienić przed jego uchwaleniem, jego obecny język odchodzi od CCPA na dwa sposoby:

• Największą zmianą jest to, że firmy byłyby zobowiązane do działania “Dane powiernice.” Proponowane prawo stwierdza, że “Każdy podmiot, który gromadzi, sprzedaje lub licencjonuje dane osobowe konsumentów, wykona obowiązek opieki, lojalności i poufności oczekiwanej od powiernika w odniesieniu do zabezpieczenia danych osobowych konsumenta przed ryzykiem prywatności.” Ten obowiązek by “zastępować wszelkie obowiązki właścicielom lub akcjonariuszowi” istoty.
• NYPA nie rozpoznaje dorozumianej zgody. W przeciwieństwie do CCPA, która uznaje dorozumianą zgodę, NYPA wymagałaby od firm wykazania, że ​​uzyskała jasną i proaktywną umowę od konsumentów w razie potrzeby.

Główny wynos

RODO’. Z dwoma głównymi przepisami dotyczącymi prywatności na każdym wybrzeżu i odmianami rozrzuconymi pomiędzy nimi, nie jest jasne, czy Kongres ostatecznie uchwa ustawę federalną, aby stworzyć jednorodność. Do tego czasu, ponieważ nowe przepisy są wprowadzane firmy, a firmy powinny być na bieżąco, aby chronić się przed potencjalnymi działaniami regulacyjnymi i procesami sądowymi.

Czy RODO ma znaczenie w USA?

Osoby i firmy po obu stronach Atlantyku mogą odczuwać, że ponieważ ogólne rozporządzenie w sprawie ochrony danych jest przepisami UE, dotyczy to tylko krajów UE. Jednak ta interpretacja jest wadliwa.

Prawda jest taka, że ​​RODO’S Aplikacja dotyczy więcej Kto Kierujesz się raczej niż Gdzie Twoja firma jest oparta. Więc jeśli ty’Re-amerykańska firma z klientami UE, ty’Muszę zwrócić uwagę na – i zastosować się do RODO. Niektóre amerykańskie firmy wciąż muszą być przekonane w tej kwestii.

Wielka Brytania kontra amerykańskie przepisy dotyczące prywatności danych

RODO dotyczy prawie wszystkich, którzy zajmują się danymi osobowymi w Unii Europejskiej lub obsługują dane osobowe ludzi w Unii Europejskiej.

Natomiast Stany Zjednoczone nie mają żadnego prawa prywatności danych z równie szeroką aplikacją. Znaleźliśmy różnorodne przepisy federalne i stanowe, które łączą się, aby utworzyć fragmentaryczny system ochrony danych, przy czym głównym celem jest poszczególne sektory (takie jak opieka zdrowotna). Takie podejście może utrudniać zgodność, ponieważ wymagane standardy ochrony danych różnią się w zależności od stanu.

Być może, co nie dziwi, stwierdziliśmy, że standard wymagany przez RODO był zwykle wystarczający, aby spełnić standardy wymagane przez odpowiednie prawa amerykańskie.

Co’s inaczej?

RODO zapewnia uniwersalną definicję “Dane osobiste”; Równoważny termin w USA jest “Dane osobowe”, . Na przykład dane finansowe i liczby ubezpieczeń społecznych w Wielkiej Brytanii nie są postrzegane jako “wrażliwy” Jeśli.

RODO opiera się na idei, że dane osobowe powinny być chronione, a jednostki powinny mieć kontrolę nad sposobem wykorzystywania ich danych. Prawa te obejmują prawo do usuwania, przenośność danych, wycofanie zgody, naprawienie niedokładnych danych, dostępu, ograniczeń i sprzeciwu.

Osobnicy danych’ prawa do USA są znacznie bardziej ograniczone. Chociaż prawo USA wyjaśnia, że ​​pewne informacje należy przekazać osobom danych w momencie, gdy ich dane osobowe są gromadzone, na ogół nie ma dalszych danych dotyczących dostępu do danych ani prawa do usuwania. Ograniczone prawa, które są obowiązujące’Dane, takie jak dzieci’S Online Ustawa o ochronie prywatności, która pozwala rodzicom przeglądać dane osobowe zebrane przez stronę internetową o ich dziecku oraz usunąć i poprawić te informacje.

Nowa Kalifornijska Ustawa o prywatności konsumentów wprowadza różne prawa kalifornijskim mieszkańcom – umożliwiając im zrozumienie, w jaki sposób ich dane są wykorzystywane, usunąć je i zrezygnować z firmy, która może sprzedać swoje informacje.

Zgodnie z RODO transfery danych osobowych poza EOG są ograniczone – głównie w celu zapewnienia, że ​​prawa do danych dostępne dla osób fizycznych’T podważony, ponieważ stosuje się międzynarodowy dostawca. Zazwyczaj oznacza to, że międzynarodowe przeniesienia danych osobowych będą podlegać osłonie prywatności UE-USA, modelowym klauzulakom umownym lub wiążącym zasadom korporacyjnym.

Natomiast istnieje kilka ograniczeń dotyczących przesyłania danych osobowych poza USA nałożonymi przez prawo USA. Podczas gdy amerykańskie przepisy i przepisy nadal mają zastosowanie do danych po opuszczeniu Stanów Zjednoczonych, koncentrują się głównie na zapewnieniu, że podmioty amerykańskie pozostają odpowiedzialne za dane.

. .

Co’S nie tak różny?

Powinien’po prostu otrzymujemy zgodę na wszystko?

Zbieranie zgody jest często postrzegane jako prosty sposób uniknięcia szczegółowych rozważania praktyk danych. Pozwalać’s Wystarczy, że dane o danych’ wszystko, Prawidłowy? .

Zgoda jest jednym z sześciu sposobów legitymizacji obsługi danych osobowych, ale nie jest to jedyna i jest często nadużywana. Zarówno RODO, jak i amerykańskie przepisy dotyczące ochrony danych’Potrzebujesz zgody na wszystko.

W UE kontrolerzy danych muszą powiadomić o swoim krajowym organu nadzorczym, jeżeli istnieje naruszenie bezpieczeństwa danych, aw niektórych sytuacjach kontrolery danych będą musiały również powiadomić o tym, co podmiot danych. W USA wymagane są również powiadomienia o naruszeniu danych, gdzie 48 z 50 stanów uchwaliło przepisy dotyczące powiadomień o naruszeniu bezpieczeństwa.

RODO US Equivent: W jaki sposób USA i UE porównują przepisy dotyczące prywatności danych

Jeśli ty’VE odwiedził stronę internetową lub sprawdził e -mail w ciągu ostatnich kilku lat’Niewątpliwie zaznajomiony z RODO. .

Pomimo tego, że został opracowany i przyjęty przez Unię Europejską, RODO ma globalne konsekwencje. Oprócz wpływu na sposób zarządzania Twoją firmą i danymi klientów, kompleksowe zasady wpłynęły na przepisy dotyczące prywatności danych na całym świecie – w tym w Stanach Zjednoczonych. Chociaż na szczeblu federalnym nie ma równoważnego RODO, poszczególne stany, takie jak Kalifornia, wdrożyły podobne zasady.

Pozostanie na podstawie lokalnych, federalnych i międzynarodowych wymagań regulacyjnych jest niezbędne dla Twojej firmy, pozostając zgodne i unikanie wysokich grzywien.

Krótki przegląd RODO

Ogólne rozporządzenie w sprawie ochrony danych (RODO), uchwalone przez Unię Europejską (UE) w 2016 r., Jest kompleksowym rozporządzeniem, które ustanawia standardy pozyskiwania, zarządzania i przetwarzania danych osobowych obywateli UE i ich mieszkańców. W zakresie RODO dane osobowe to wszelkie informacje, które łączą się z możliwą do zidentyfikowania osoby naturalnej lub “Omysłowanie danych.”

Najważniejszym elementem RODO jest to, że rozporządzenie nie dyktuje żadna organizacja nie może zbierać, przechowywać ani wykorzystywać danych osobowych bez wyraźnej zgody na to, że podmiot danych.

W przeciwieństwie do podobnych amerykańskich przepisów dotyczących ochrony danych, które ograniczają dane regulowane do informacji finansowych lub zdrowotnych, RODO chroni i reguluje różne sektory informacji, które mogą być powiązane z osobami, w tym informacje o lokalizacji, adresy IP i dane plików cookie. Wszystko pod parasolem informacji osobowych, jeśli Twoja firma gromadzi lub przetwarza te informacje, na przykład poprzez formularze przechwytywania wiodących lub piksele reklamowe, ty’Odpowiedzialność za przestrzeganie RODO.

Wpływ niezgodności

Utrzymanie zgodności z RODO to nie tylko u Twoich klientów’ Najlepsze interesy, ale w Twojej firmie’S interesu najlepszego. Horrory o niezgodności i naruszeniach danych mogą towarzyszyć wysokie grzywny. W zależności od wielkości Twojej firmy, grzywny mogą wynosić od 11 do 21 milionów USD lub 2 – 4% rocznego globalnego obrotu.

Co RODO oznacza dla firm w USA?

Wiemy, że RODO ma daleko idące skutki, w tym na firmy w Stanach Zjednoczonych. Chociaż może być łatwe do zignorowania wymagań RODO, jeśli tak’w międzynarodowej firmie, uważasz, że nie. Nawet jeśli nie masz’Zamierzaj zbierać dane od mieszkańców UE lub sprzedawać, jeśli twoje cyfrowe nieruchomości, w tym strony internetowe, przyciągają odwiedzających z UE lub Europejskiego obszaru gospodarczego (EOG), to RODO ma zastosowanie.

Powiedz, że gość z UE państwa członkowskiego pojawia się na Twojej stronie internetowej i subskrybuje Twój blog lub pobiera artykuł badawczy. Twoje wysiłki retargetingowe za pośrednictwem Google lub LinkedIn Advertising mogą upuścić piksel śledzący na ich przeglądarce. ’VE zaczął przetwarzać swoje dane.

Dzięki bogactwu scenariuszy dostępnych do wrażliwych danych, pozostanie na podstawie najlepszych praktyk dla zgodności z RODO jest niezbędne dla amerykańskich firm. Ale poza wymogami regulacyjnymi RODO ma dodatkowy wpływ na przepisy dotyczące prywatności na całym świecie, w tym w Stanach Zjednoczonych.

POLECANY DLA CIEBIE

Co to jest dane osobowe?

Zrozumienie, co definiuje dane osobowe, pomoże Ci ocenić, czy RODO dotyczy Twojej firmy.

Czy USA mają podobne przepisy dotyczące ochrony danych?

Chociaż prawo federalne musi jeszcze zająć się bezpieczeństwem danych i przetwarzaniem danych w zakresie RODO, prawo stanowe służą jako równoważniki RODO w Stanach Zjednoczonych. Od 2022 r. Pięć stanów, w tym Utah, Kolorado, Wirginia, Connecticut i Kalifornia, wszystkie mają pewne prawo dotyczące prywatności konsumenckiej. Tymczasem ponad 15 stanów rozważa własne podobne przepisy.

Ochrona danych mieszkańców Kalifornii

Kalifornijska ustawa o prywatności konsumentów (CCPA), uchwalona w 2018 r., Była pierwszą w USA w odpowiedzi na naruszenia prywatności RODO i prywatności danych w państwie. Oferuje podobne przepisy dotyczące ochrony danych, choć co prawda na skończoną skalę.

• Dane osobowe vs. dane osobiste: Chociaż często używane zamiennie, CCPA konkretnie adresuje i chroni informacje osobiste Można to rozsądnie powiązać z konsument w Kalifornii
• Konsumenci vs. Osobnicy danych: Podczas gdy RODO chroni wszelkie osoby, które są przedmiotem danych żyjących w UE (w tym obywateli amerykańskiej), zakres CCPA jest ograniczony do informacji mieszkańców Kalifornii, a dokładniej konsumentów
• Firmy nastawione na zysk vs. CCPA reguluje specyficzne firmy nastawione na zysk, które obsługują dane konsumentów w Kalifornii, a RODO zapewnia wytyczne regulacyjne dla każdy Organizacja w państwach członkowskich UE i poza
• Wymagany nadzór: Podczas gdy RODO wymaga zatrudnienia funkcjonariusza ds. Ochrony danych (DPO) w celu nadzorowania zgodności i działania jako łącznik do celów audytu, CCPA nie ma takiego wymogu nadzoru

W styczniu 2023 r. Kalifornijska ustawa o prawach prywatności (CRPA), poprawka do CCPA, weszła w życie. Zapewniło to nowe wymagania, prawa i mechanizmy egzekwowania w CCPA, w tym jasną definicję tego, kto wpływa przepisy i ochrona “poufne dane osobowe.” Konkretnie:

• Rozszerzenie progu firm z tych, które kupują, sprzedają lub udostępniają dane osobowe 50 000 mieszkańców do 100 000 lub więcej
• Definiuje nową kategorię poufnych danych osobowych jako obejmujących identyfikatory wydane przez rząd, informacje finansowe, dane geolokalizacyjne, a także dane demograficzne, takie jak rasa, religia i wiele innych

Na wysokim poziomie obie zasady zapewniają osobom większą jasność i kontrolę nad ich danymi osobowymi i przetwarzaniem takich danych. Jeśli chodzi o RODO, dane zdrowotne i finansowe należą do większego parasola danych osobowych. .

Zabezpieczenie danych zdrowotnych pacjentów

Ustawa o przenośności i rozliczalności ubezpieczenia zdrowotnego (HIPAA), przyjęta w 1996 r., Reguluje chronione informacje o zdrowiu (PHI). Organizacje, które obsługują PHI, w tym “podmioty objęte” Podobnie jak świadczeniodawcy lub współpracownicy, tacy jak firmy rozliczeniowe lub EHR, są odpowiedzialne za przestrzeganie przepisów HIPAA. ’Prawdopodobnie podlega zgodności HIPAA.

Regulacja płatności i transakcji karty kredytowej

Tymczasem ustawa Gramm-Leach-Bliley (GLBA), uchwalona w 1999 r., Wymaga instytucji finansowych, aby zapewnić osobom większy dostęp i przejrzystość na wykorzystanie ich danych osobowych. Utrzymanie zgodności GLBA obejmuje komunikowanie się, w jaki sposób poufne dane, takie jak klient’Nume i nazwa S, numer telefonu, numer telefonu lub rachunek i ubezpieczenie społeczne są obsługiwane i udostępniane. Podobnie jak CCPA i CPRA i RODO, instytucje muszą zaoferować możliwość rezygnacji ze swoich danych udostępnianych stronom trzecim.

. Powtórz przestępstwa HIPAA mogą skalować grzywny do 250 000 USD, co stanowi wyraźną zachętę do utrzymania zgodności.

Ustanowienie praw do agencji rządowych USA

’S ograniczone głównie do danych wykorzystanych do celów komercyjnych. Ustawa o prywatności z 1974 r. Reguluje sposób, w jaki sektor publiczny zarządza Twoimi danymi.

Opracowany w odpowiedzi na początek baz danych i komputerów, które mogą teraz przechowywać bogactwo informacji, ustawa o prywatności prowadzi agencje federalne dotyczące ochrony danych, konserwacji i rozpowszechniania. Ustawa daje cztery prawa, które obywatele USA mają dotyczące ich danych osobowych:

1. Agencje są zobowiązane do udostępnienia rekordów prowadzonych na osobę na żądanie
2. Agencje muszą podążać “uczciwe praktyki informacyjne,” które określają zakres i jakość agencji danych, mogą rozsądnie gromadzić i zarządzać.
3. Agencje muszą przestrzegać restrykcyjnych wytycznych dotyczących udostępniania danych osobowych między agencjami lub z innymi osobami.
4. Agencje mogą zostać pozwane za naruszenie któregokolwiek z powyższych praw.

To’Ważne jest, aby zauważyć, że ustawa o prywatności nie jest wszechogarniająca. Agencje rządowe odpowiedzialne za organy ścigania, takie jak Federalne Biuro Śledcze (FBI) i Centralna Agencja Wywiadowcza (CIA), są zwolnione z przepisów. Dodatkowo ustawa zapewnia “rutynowe użycie” i inne zwolnienia, takie jak do użytku w spisie powszechnym w USA.

Co ma przyszłość w zakresie przepisów dotyczących ochrony danych w Stanach Zjednoczonych?

Jeśli chodzi o odpowiednik RODO w Stanach Zjednoczonych, ochrona danych jest bardziej sumą jego części niż kompleksowe podejście. Ustawodawstwo takie jak Kalifornijska ustawa o prywatności konsumentów lub ustawa o ochronie danych konsumenckich Virginia wypełnia podobne potrzeby w zakresie przepisów dotyczących prywatności w granicach poszczególnych państw.

Istnienie transgranicznych transferów danych i globalnej gospodarki powoduje potrzebę osiągnięcia zgodności RODO, ale IT’.

Stany Zjednoczone’ Podejście do ochrony danych i polityki przejrzystości było patchwork w ciągu ostatnich kilku lat. Jednak w 2022 r. Dotyczyły znacznych grzywien nakładanych przez Federalną Komisję Handlu poprzez naruszenia prywatności i ponowne wysiłki Kongresu w celu stworzenia spójnej krajowej polityki prywatności danych.

Federalna Komisja Handlowa zajmuje się naruszeniem zgodności

W szczególności FTC nakazało Epic Games zapłacić ponad 500 milionów dolarów grzywny za naruszenie dzieci’S Online Ustawa o ochronie prywatności (COPPA) poprzez wprowadzanie w błąd projektowania interfejsu użytkownika lub “ciemne wzory” To spowodowało tysiące niezamierzonych decyzji dotyczących zakupów i prywatności podejmowanych przez dzieci i nastolatków.

Ponadto koalicja ponad 40 prawników generalnych osiągnęła przełomowe ugodę z Google na północ w wysokości 350 milionów dolarów w porównaniu z przetwarzaniem danych lokalizacji. Decyzje oznaczają przełomowy moment w amerykańskich przepisach dotyczących bezpieczeństwa informacji i sposób, w jaki firmy mogą być odpowiedzialne finansowo za naruszenie konkretnych przepisów dotyczących prywatności.

Wpływ istniejących przepisów ożywił rozmowy dla kompleksowego odpowiednika RODO w Stanach Zjednoczonych. W 2022 r. Ustawa o prywatności i ochrony danych American Data (ADPPA) przeszła przez komitet kongresowy z dwustronnym wsparciem. Ale nigdy nie został głosowany na podłogę Izby Reprezentantów. Ustawa zapobiegałaby Kalifornijskiej ustawie o prywatności konsumentów i pozostaje opcją debaty i decyzji w 2023 r.

Jak uwzględnić różne przepisy dotyczące prywatności danych

’t ograniczone do grzywien i kar kryminalnych. Wpływ danych przez klientów naruszeń danych wynika duży, a utrzymanie ich zaufania może często zależeć od Twojej firmy’zdolność do ochrony ich informacji.

Przy tak wielu wytycznych prawnych, protokołach i przepisach do naśladowania, w jaki sposób Twoja firma może wyprzedzić krzywą bezpieczeństwa danych?

Robienie odpowiednich pracowników dla swojego zespołu

. W zależności od firmy RODO może wymagać zatrudnienia urzędnika ds. Ochrony danych lub DPO. Obowiązki DPO obejmują edukację pracowników na temat zgodności i danych oraz przeprowadzanie regularnych audytów bezpieczeństwa. DPO służy również jako główny punkt kontaktowy w celu uzyskania dostępu do danych firmy do audytu lub w inny sposób.

Funkcjonariusze ochrony danych oraz inni zatrudnienie w zakresie bezpieczeństwa i zgodności są niezbędne, aby Twoja firma mogła monitorować ciągle zmieniający się krajobraz prawa bezpieczeństwa informacji. Z wyraźną widocznością w Twojej firmie’ Praktyki danych i bezpieczeństwo informacji, takie role mogą bardziej płynnie monitorować, doradzić i utrzymać postawę zgodności.

Pracować z partnerem

Podczas gdy zatrudnienie członków zespołu w celu monitorowania i ustalenia wpływu tych trendów może nie być w twoim startupie’SMapa drogowa, należy stale oceniać, jak podejść do bezpieczeństwa na konkretnym etapie. Oznacza to, że pamiętanie o podstawach bezpieczeństwa, narzędzi i praktykach danych w celu zrozumienia, w jaki sposób zmiany zgodności z przepisami mogą mieć wpływ na operacje biznesowe.

Nie jestem pewien, od czego zacząć? Zacznij od rozmowy z jednym z naszych ekspertów.

Przeglądaj więcej treści

Czy Twoja firma obsługuje dane osobowe?

Dowiedz się więcej o zakresie RODO, ponieważ odnosi się on do danych osobowych i co to może oznaczać dla Twojej firmy.

Udostępnij ten post swoją siecią:

Czy u.S. ?

Czy słyszałeś pytanie, “Czy Ameryka jest tyglem lub miską sałatkową?” Pozwalać’s Zastosuj tę koncepcję do przepisów dotyczących prywatności danych. Dzisiaj, w U.S. Nie ma spójnego, krajowego prawa dotyczące prywatności danych. Zamiast tego firmy starają się zrozumieć ‘Sałatka mieszana’ różnych przepisów i przepisów egzekwowanych przez poszczególne państwa i organy regulacyjne oparte na branży.

Potrzeba ogólnokrajowych przepisów dotyczących prywatności danych

Ponieważ technologia wciąż się rozwija i wpływa na tak wiele aspektów naszego życia, środowisko cyfrowe naprawdę wymaga nadrzędnych ram zapewniania i egzekwowania prywatności danych.

Wyeliminuj zamieszanie i nieefektywność

Dzisiejszy biznes nie działa w obrębie granic. Dostawcy, dostawcy, klienci i współpracownicy biznesowi pracują nad rozciąganiem działalności w zakresie granic państwowych i międzynarodowych. Często działają również lub polegają na biznesie w wielu branżach. Konieczność poruszania się w różnych przepisach federalnych, stanowych i branżowych powoduje zamieszanie i nieefektywność dla podmiotów, asesorów i organów regulacyjnych.

Unikaj nadmiernego obciążenia zgodności

Podobnie, w przypadku wielu standardów, proces raportowania i zgodności wymaga więcej czasu, wysiłku i pieniędzy od podmiotów.

Ponieważ RODO przyszedł na pierwszym miejscu (w efekcie od maja 2018 r.), Wiele amerykańskich i międzynarodowych firm już starało się osiągnąć zgodność z RODO i kontynuować biznes ze swoimi europejskimi klientami. Aby zapobiec dalszemu obciążeniu zgodności, u.S. Przepisy dotyczące prywatności danych powinno starać się pozostać blisko standardu ustalonego przez RODO.

Utrzymuj przepisy przed przestarzałymi

U.S. Przepisy dotyczące prywatności danych, które są obecnie w książkach, były napisane w przeszłości i zostały zaprojektowane w celu regulacji innego środowiska. Teraz potrzebujemy przepisów, które są wystarczająco elastyczne, aby zająć się opracowywaną technologią i nadal mieć zastosowanie w przyszłości.

Wzmocnij ochronę prywatności

Luki i nakładania się są naturalnym wynikiem wielu przepisów. W niektórych przypadkach nawet są ze sobą w konflikcie. Jednak w erze, w której dane osobowe są coraz bardziej wrażliwe, ochrona prywatności jest bardziej krytyczna niż kiedykolwiek. Przepisy powinny być kompleksowe i jasne – obejmujące wszystkie rodzaje danych osobowych we wszystkich formach – w celu zapewnienia najsilniejszego możliwego poziomu ochrony.

U.S. Przepisy dotyczące prywatności danych

W Stanach Zjednoczonych nie ma federalnego prawa dotyczącego prywatności danych, takich jak RODO. Istnieją pewne krajowe przepisy, które zostały wprowadzone w celu regulacji wykorzystania danych w niektórych branżach.

• 1974 – U.S. Ustawa o prywatnościco określa prawa i ograniczenia dotyczące danych posiadanych przez agencje rządowe USA.
• 1996 – – Ustawa o przenośności ubezpieczenia zdrowotnego i odpowiedzialności (HIPAA), który reguluje prywatność i bezpieczeństwo w branży opieki zdrowotnej.
• 1999 – – Gramm-Leach-Bliley Act (GLBA), który reguluje sposób, w jaki konsumenci’ Informacje o prywatności niepublicznej są gromadzone i wykorzystywane w branży finansowej.
• 2000 Dzieci’S Oskarta Ochrony Prywatności online (COPPA) zrobił pierwszy krok w regulacji danych osobowych zebranych od nieletnich. Prawo w szczególności zabrania firmom internetowym proszenia o PII od dzieci w wieku 12 lat, chyba że tam’S Weryfikowalna zgoda rodzicielska.

Teraz znajdujemy się w roku 2020. I teraz nastąpił znaczny postęp w kierunku ujednoliconych ram – w różnych stanach i branżach – najlepszych praktyk dotyczących prywatności danych od 20 lat. FTC jest jedyną siłą przewodnią w karaniu konglomeratów technologii i mediów społecznościowych, które wprowadziły w błąd użytkowników, w jaki sposób ich dane są gromadzone i sprzedawane stronom trzecim.

’T pomaga firmom zrozumieć i wdrażać najlepsze praktyki. Co’Pot potrzebne to ramy, które kierują podmiotami do opracowywania skutecznych zasad i praktyk dotyczących prywatności danych – od podstaw. Nie tylko karanie naruszeń – od góry na dole. Ponieważ prawda jest taka, że ​​możemy tutaj o sprawach dotyczących Facebooka i powiększenia, ale ile innych przypadków nieskutecznego bezpieczeństwa pozostaje niezauważone?

Różnica między u.S. oraz przepisy dotyczące prywatności danych UE

Możemy’t dokonuj uczciwego porównania, ponieważ tam jest’t (jeszcze) a.S. Odpowiednik RODO. Zasadniczo UE szanuje prywatność jako podstawowe prawo obywateli. RODPR to kompleksowe ramy ochrony danych osobowych zaprojektowane w celu ochrony tych praw. .

. W tym momencie jednak żadna propozycja nie zyskała wystarczającego poparcia w Kongresie, aby stać się nowym prawem.

Najbliższym prawem krajowym w zakresie wigoru byłoby prawdopodobnie HIPAA, która została zaprojektowana w celu ochrony prywatności pacjentów. Brakuje nam jednak przepisów dotyczących prywatności konsumentów i bezpieczeństwa danych we wszystkich branżach.

Nieprawidłowe stany prywatności danych

W ostatnich latach my’widziane stany wprowadzają własne przepisy dotyczące prywatności danych konsumenckich. . Inne państwa już wprowadziły własne przepisy dotyczące ochrony danych, które mają zastosowanie do wszystkich firm. Stany te obejmują:

• Arkansas
• Kolorado
• Connecticut
• Floryda
• Indiana
• Kansas
• Maryland
• Nevada
• Nowy Meksyk
• Oregon
• Rhode Island
• Teksas
• Utah

. Więc ‘miska sałatki’ zagadka. Bez połączenia sił rządzących, każde państwo jest pozostawione samotnie, a zgodność staje się myląca i niespójna.

Dlaczego międzynarodowe koncerny muszą dbać o zgodność z RODO?

Podmioty spoza UE związane z międzynarodowym biznesem muszą dbać o RODO, ponieważ najprawdopodobniej klienci mieszkają w kraju UE. Jeśli dane konsumenckie UE, które międzynarodowe korporacje zbierają podczas transakcji, są dostępne od jednego centralnego systemu do podmiotów stowarzyszonych na całym świecie, konieczne jest, aby firmy te rozumiały, w jaki sposób płynie dane, aby zapewnić, że transfery transgraniczne są zgodne z wymaganiami RODO.

Kolejnym bardzo ważnym powodem uczynienia zgodności z RODO jest priorytetem, jest to, że niezgodność pozostawia międzynarodowe koncerny podlegające znacznym grzywnom administracyjnym, że wyznaczone organy ochrony danych (DPA) mają uprawnienia do narzucenia, jeśli określają przyczynę. Kary za niezgodność RODO to cztery procent firmy’s na całym świecie roczne przychody brutto lub 20 milionów euro. Takie kary mają zastosowanie, nawet jeśli odpowiedzialny podmiot jest jedynie spółką zależną tylko z kilkoma pracownikami, co czyni jest niezbędne, aby międzynarodowe koncerny upewniły się, że wszelkie spółki zależne są również na pokładzie.

Dodatkowo DPA utrzymują moc do zabezpieczenia lub zakazania transferów danych z UE do U.S. Korporacja macierzysta, jeśli odkryją problem niezgodności.

?

.S. Partners, LLC. Możemy pomóc Twojej organizacji w ustaleniu, które przepisy mają zastosowanie do twoich działań i zbudować strategię osiągnięcia pełnej zgodności.