Czy zgodność z RODO dotyczy amerykańskich firm

Natomiast U.S. Tradycyjnie przyjął bardziej prawidłowe podejście, które sprzyja firmom, które zbierają i wykorzystują dane osobowe. Wykorzystanie danych osobowych do celów komercyjnych przekracza znaczenie prywatności danych. W ostatnich latach nastąpił sposób myślenia w kierunku lepszej ochrony jednostek, ponieważ naruszenie danych nadal powodują spustoszenie, ale podstawowe różnice kulturowe zajmie więcej czasu, aby rozwiązać i przynieść USA w pełnym dostosowaniu się do sposobu myślenia UE i prawami UE.

Czy nadszedł czas na u.S. Wersja RODO?

Wiedza specjalistyczna od członków Forbes Council, prowadzona na podstawie licencji. Wyrażone opinie są opiniami autora.
|. Członkostwo (opłacalne)
1 lutego 2022, 10:15 EST |

• Udostępnij na Facebooku
• Udostępnij na Twitterze
• Udostępnij do LinkedIn

Saryu Nayyar jest dyrektorem generalnym Gurucul, dostawcy technologii analizy bezpieczeństwa behawioralnego i uznanym ekspertem w dziedzinie zarządzania ryzykiem cybernetycznym.
Autor e. A. Bucchianeri wskazał kiedyś prawdziwą ironię, pisząc: „Wiesz, że coś jest nie tak, gdy rząd deklaruje, że otwieranie poczty innej osoby jest przestępstwem, ale Twoja aktywność internetowa jest uczciwą grą do gromadzenia danych.”
Dane osobowe na temat osób fizycznych są gromadzone przy każdym kliknięciu każdej aplikacji i każdego błysku karty płatniczej. W miarę wzrostu Internetu również zbieranie danych. Jako użytkownicy pozwalamy na to, ponieważ otrzymujemy coś w zamian: bezpłatne konto w mediach społecznościowych, korzystanie z wyszukiwarek, które odpowiadają na każde zapytanie, zniżki z programów lojalnościowych, bezpłatne przechowywanie zdjęć i nie tylko. Dla dostawców tych usług wypłatą jest masowa monetyzacja zbieranych przez nich danych osobowych.
W ostatnich latach ludzie bardzo zdawali sobie sprawę z erozji swojej osobistej prywatności. Trudno zignorować ingerencję profilowania, gdy przerażające reklamy prześladują cię wszędzie.
Czy osiągnęliśmy punkt, w którym dżin prywatności jest poza butelką i nigdy nie wraca? Niekoniecznie.
W Unii Europejskiej prywatność danych jest chroniona
Kraje członkowskie UE skodyfikowały prawo do prywatności danych osobowych w kwietniu 2016 r. Wraz z ogólnym rozporządzeniem w zakresie ochrony danych (RODO). Mówiąc dokładniej, RODO jest rozporządzeniem w sprawie ochrony danych i prywatności w UE i europejskim obszarze gospodarczym, a także w sprawie przesyłania danych osobowych poza tymi obszarami. Prawo stało się wykonalne w maju 2018 r.
Więcej od doradcy Forbes

Najlepsze firmy ubezpieczeniowe podróży

Amy Daniise

Najlepsze plany ubezpieczenia podróży Covid-19

Amy Daniise
Głównym celem regulacji jest przekazanie kontroli nad danymi osobowymi obywatelom i mieszkańcom (zwanym „osobami danych”). Kolejnym jest uproszczenie środowiska regulacyjnego dla międzynarodowego biznesu poprzez posiadanie tylko jednego przepisów dotyczących ochrony danych w całej Europie, która jest taka sama we wszystkich państwach członkowskich.
Regulacja jest duża i złożona, a wiele firm starało się przestrzegać wszystkich przepisów. Niemniej jednak zamiar prawa leży w najlepszym interesie osób, których dane osobowe są zbyt często wykorzystywane przez te same podmioty korporacyjne. Niektóre z najbardziej znaczących wymagań nałożonych na organizacje obejmują:
• Dostarczanie środków dla osób do wyciągnięcia danych z jednego systemu i do drugiego.
• Zdobycie wyraźnej zgody na gromadzenie danych i usunięcie danych, jeśli zgoda zostanie wycofana.
• Umożliwienie osobom danych dostępu do ich informacji oraz dostosowania się do poprawek i delecji zgodnie z żądaniem.
• Wyeliminowanie wszystkich śladów informacji o danych osobowych w „Prawo do zapomnienia.”
• Projektowanie procesów biznesowych i aplikacji z wyraźnymi środkami w celu zapewnienia prywatności danych.
RODO określa, że ​​osoby, których dane mogą ustalić, co dzieje się z ich danymi osobowymi. Podejście w U.S. Zasadniczo osoby muszą selektywnie zrezygnować z procesów, które pozwalają firmom na gromadzenie i przechowywanie danych osobowych.
Komisja Europejska oświadczyła, że ​​chociaż należy osiągnąć większy postęp, RODO jest „ogólnym sukcesem”, ponieważ jednostki są „bardziej upoważnione i świadome swoich praw.„Inną miarą sukcesu jest to, że inne organy ustawodawcze poza UE rozważają podobne działania. To powiedziawszy, czy czas na u.S. Wersja przepisów dotyczących prywatności podobnych do RODO?
Prywatność danych na poziomie stanu
W przypadku braku federalnych przepisów dotyczących prywatności danych, niektóre u.S. państwa opracowują własne. Kalifornia uchwaliła California Consumer Privacy Act (CCPA) w 2018 r. Podobnie jak RODO, przepisy kalifornijskie umożliwiają mieszkańcom państwa kontrolowanie własnych danych osobowych. Szczegółowe prawa obejmują wiedzę, jakie informacje są gromadzone, powiadomienie, jeśli dane osobowe są sprzedawane lub udostępniane, oraz możliwość odmowy sprzedaży danych osobowych.
Virginia uchwaliła ustawę o ochronie danych konsumentów w marcu 2021 r. Jego przepisy w dużej mierze z Kalifornii Consumer Prywatność. Kilka miesięcy później Kolorado uchwaliło Ustawę o prywatności w Kolorado, pobierając przepisy RODO, a także przepisy dotyczące Kalifornii i Virginii. Ponad pół tuzina dodatkowych stanów ma w momencie pisania przepisy dotyczące ochrony danych i prywatności.
Regulacja federalna byłaby jednolitą
Poradnienie wdrażania indywidualnych przepisów dotyczących ochrony danych i ochrony danych i prywatności polega na tym, że chociaż istnieją podobieństwa między przepisami państw, istnieją również różnice. Stwarza to problem dla firm działających w całym kraju, a przynajmniej
Pytanie 1: Co to jest RODO?
Odpowiedź 1: Ogólne rozporządzenie w sprawie ochrony danych (RODO) jest rozporządzeniem w sprawie ochrony danych i prywatności w Unii Europejskiej (UE) i Europejskiej Obszaru Gospodarczego (EOG). Ma na celu przekazanie kontroli nad danymi osobowymi obywatelom i mieszkańcom oraz uproszczenie środowiska regulacyjnego dla międzynarodowego biznesu.
Pytanie 2: Kiedy RODO stał się wykonalny?
Odpowiedź 2: RODO stał się wykonalny w maju 2018 r.
Pytanie 3: Jakie znaczące wymagania nałożone na organizacje w ramach RODO?
Odpowiedź 3: Niektóre godne uwagi wymagania obejmują dostarczanie środków dla osób do przesyłania swoich danych, uzyskanie wyraźnej zgody na gromadzenie danych, umożliwienie osobom dostępu i poprawienia ich informacji oraz wdrażanie środków w celu zapewnienia prywatności danych.
Pytanie 4: W jaki sposób regulacja prywatności danych w UE różni się od USA?
Odpowiedź 4: UE ma bardziej proaktywne podejście do prywatności danych, a RODO daje osobom kontrolę nad danymi osobowymi. W USA jednostki zazwyczaj muszą zrezygnować z procesów gromadzenia danych.
Pytanie 5: Czy RODPR odniósł sukces?
Odpowiedź 5: Komisja Europejska uważa RODO za ogólny sukces, ponieważ jednostki są bardziej uprawnione i świadome swoich praw. Wpłynął również na inne organy ustawodawcze poza UE.
Pytanie 6: Czy w USA istnieją podobne przepisy dotyczące prywatności danych?
Odpowiedź 6: Niektóre stany USA, takie jak Kalifornia i Wirginia, wprowadziły własne przepisy dotyczące prywatności danych, przypominające RODO w niektórych aspektach.
Pytanie 7: Jakie wyzwania stoją przed firmami z przepisami dotyczącymi prywatności danych według danych?
Odpowiedź 7: Państwowe przepisy stanowi różnice w przepisach, co utrudnia przedsiębiorstwom działającym w całym kraju do przestrzegania różnych wymagań.
Pytanie 8: Dlaczego federalne przepisy dotyczące prywatności danych jest niezbędne w USA?
Odpowiedź 8: Federalne ustawodawstwo zapewniałoby jednolite podejście do prywatności danych, zapewniając spójne przepisy i zmniejszając złożoność dla firm.
Pytanie 9: Jak osoby w UE mają kontrolę nad swoimi danymi osobowymi?
Odpowiedź 9: RODO pozwala osobom danych w UE na ustalenie, co dzieje się z ich danymi osobowymi, zapewniając im prawa do dostępu, poprawienia i usuwania ich danych.
Pytanie 10: Czy istnieją kary za naruszenia RODO?
Odpowiedź 10: Tak, RODO nakłada znaczące kary za naruszenia, zachęcając organizacje do przestrzegania przepisów.

Czy zgodność z RODO dotyczy amerykańskich firm

Natomiast U.S. Tradycyjnie przyjął bardziej prawidłowe podejście, które sprzyja firmom, które zbierają i wykorzystują dane osobowe. Wykorzystanie danych osobowych do celów komercyjnych przekracza znaczenie prywatności danych. W ostatnich latach nastąpił sposób myślenia w kierunku lepszej ochrony osób, ponieważ naruszenie danych nadal powodują spustoszenie, ale leżące u podstaw różnice kulturowe zajmie więcej czasu, aby rozpuścić i przynieść USA w pełniejsze wyrównanie z UE’S Specie i prawa.

Czy nadszedł czas na u.S. Wersja RODO?

Wiedza specjalistyczna od członków Forbes Council, prowadzona na podstawie licencji. Wyrażone opinie są opiniami autora.

|. Członkostwo (opłacalne)

1 lutego 2022, 10:15 EST |

• Udostępnij na Facebooku
• Udostępnij na Twitterze
• Udostępnij do LinkedIn

Saryu Nayyar jest dyrektorem generalnym Gurucul, dostawca technologii analizy bezpieczeństwa behawioralnego i uznany ekspert w dziedzinie zarządzania ryzykiem cybernetycznym.

Autor e. A. Bucchianeri wskazał kiedyś prawdziwą ironię, pisząc: „Wiesz, że coś jest nie tak, gdy rząd deklaruje otwieranie kogoś innego’S -Mail to przestępstwo, ale Twoja aktywność internetowa jest uczciwą grą do gromadzenia danych.”

Dane osobowe na temat osób fizycznych są gromadzone przy każdym kliknięciu każdej aplikacji i każdego błysku karty płatniczej. W miarę wzrostu Internetu również zbieranie danych. Jako użytkownicy pozwalamy na to, ponieważ otrzymujemy coś w zamian: bezpłatne konto w mediach społecznościowych, korzystanie z wyszukiwarek, które odpowiadają na każde zapytanie, zniżki z programów lojalnościowych, bezpłatne przechowywanie zdjęć i nie tylko. Dla dostawców tych usług wypłatą jest masowa monetyzacja zbieranych przez nich danych osobowych.

W ostatnich latach ludzie bardzo zdawali sobie sprawę z erozji swojej osobistej prywatności. To’trudno zignorować wtargnięcie bycia profilowaniem, gdy przerażające reklamy prześladują cię wszędzie.

Czy osiągnęliśmy punkt, w którym dżin prywatności jest poza butelką’S nigdy nie wraca? Niekoniecznie.

W Unii Europejskiej prywatność danych jest chroniona

Kraje członkowskie UE skodyfikowały prawo do prywatności danych osobowych w kwietniu 2016 r. Wraz z ogólnym rozporządzeniem w zakresie ochrony danych (RODO). Mówiąc dokładniej, RODO jest rozporządzeniem w sprawie ochrony danych i prywatności w UE i europejskim obszarze gospodarczym, a także w sprawie przesyłania danych osobowych poza tymi obszarami. Prawo stało się wykonalne w maju 2018 r.

Więcej od doradcy Forbes

Najlepsze firmy ubezpieczeniowe podróży

Amy Daniise

Najlepsze plany ubezpieczenia podróży Covid-19

Amy Daniise

Głównym celem regulacji jest przekazanie kontroli nad danymi osobowymi obywatelom i mieszkańcom (zwanym „osobami danych”). Kolejnym jest uproszczenie środowiska regulacyjnego dla międzynarodowego biznesu poprzez posiadanie tylko jednego przepisów dotyczących ochrony danych w całej Europie, która jest taka sama we wszystkich państwach członkowskich.

Regulacja jest duża i złożona, a wiele firm starało się przestrzegać wszystkich przepisów. Niemniej jednak zamiar prawa leży w najlepszym interesie osób, których dane osobowe są zbyt często wykorzystywane przez te same podmioty korporacyjne. Niektóre z najbardziej znaczących wymagań nałożonych na organizacje obejmują:

• Dostarczanie środków dla osób do wyciągnięcia danych z jednego systemu i do drugiego.

• Zdobycie wyraźnej zgody na gromadzenie danych i usunięcie danych, jeśli zgoda zostanie wycofana.

• Umożliwienie osobom danych dostępu do ich informacji oraz dostosowania się do poprawek i delecji zgodnie z żądaniem.

• Wyeliminowanie wszystkich śladów danych danych’S informacje w „Prawo do zapomnienia.”

• Projektowanie procesów biznesowych i aplikacji z wyraźnymi środkami w celu zapewnienia prywatności danych.

RODO określa, że ​​osoby, których dane mogą ustalić, co dzieje się z ich danymi osobowymi. Podejście w U.S. Zasadniczo osoby muszą selektywnie zrezygnować z procesów, które pozwalają firmom na gromadzenie i przechowywanie danych osobowych.

Komisja Europejska oświadczyła, że ​​chociaż należy osiągnąć większy postęp, RODO jest „ogólnym sukcesem”, ponieważ jednostki są „bardziej upoważnione i świadome swoich praw.„Inną miarą sukcesu jest to, że inne organy ustawodawcze poza UE rozważają podobne działania. To powiedziawszy, czy czas na u.S. Wersja przepisów dotyczących prywatności podobnych do RODO?

Prywatność danych na poziomie stanu

W przypadku braku federalnych przepisów dotyczących prywatności danych, niektóre u.S. państwa opracowują własne. Kalifornia uchwaliła California Consumer Privacy Act (CCPA) w 2018 r. Podobnie jak RODO, przepisy kalifornijskie umożliwiają państwu’Mieszkańcy S do kontrolowania własnych danych osobowych. Szczegółowe prawa obejmują wiedzę, jakie informacje są gromadzone, powiadomienie, jeśli dane osobowe są sprzedawane lub udostępniane, oraz możliwość odmowy sprzedaży danych osobowych.

Virginia uchwaliła ustawę o ochronie danych konsumentów w marcu 2021 r. Jego przepisy przyciągają mocno z Kalifornii’S Konsumencka ustawa o prywatności. Kilka miesięcy później Kolorado uchwaliło Ustawę o prywatności w Kolorado, pobierając przepisy RODO, a także przepisy dotyczące Kalifornii i Virginii. Ponad pół tuzina dodatkowych stanów ma w momencie pisania przepisy dotyczące ochrony danych i prywatności.

Regulacja federalna byłaby jednolitą

Poradnienie wdrażania indywidualnych przepisów dotyczących ochrony danych i ochrony danych i prywatności polega na tym, że chociaż istnieją podobieństwa między przepisami państw, istnieją również różnice. Stwarza to problem dla firm, które działają w całym kraju, a przynajmniej w różnych liniach państwowych, które muszą być zgodne z szeregiem mandatów – z których niektóre mogą się ze sobą zaprzeczać. Dla prostoty’S Sake, firmy chcą spełnienia jednego zunifikowanego i standardowego zestawu wymagań regulacyjnych. Właśnie to zrobił RODO, zastępując liczne różne przepisy ustanowione przez różne państwa członkowskie UE.

W rzeczywistości U.S. Rząd federalny już reguluje ochronę danych i prywatność w całym kraju, choć tylko dla określonych branż. Ustawa o przenośności i odpowiedzialności ubezpieczenia zdrowotnego (HIPAA) ogranicza, w jaki sposób mogą być obsługiwane informacje o zdrowiu osobistym i przez kogo. Ustawa o prawach edukacyjnych i prywatności rodzinnej (FERPA) robi to samo dla studentów’ prywatna informacja.

Oba te przepisy, wraz z niektórymi szczegółami RODO, są dobrymi punktami wyjścia do opracowania wszechstronnego federalnego prawa ochrony danych i prywatności. Korzystanie z RODO jako modelu byłoby pomocne dla globalnych organizacji, które prowadzą działalność w całej UE i w obrębie U.S. Następnie mogliby mieć jeden blisko powiązany zestaw przepisów, do których należy się dostosować i prowadzić swoje działalność w standard.

Każde społeczeństwo, które szanuje jednostki’ prawo do prywatności powinno kodyfikować wymagania regulacyjne dotyczące obsługi danych. Poszczególne państwa to robią. Kiedy zostanie to rozwiązane w skali krajowej?

Forbes Technology Council to społeczność tylko dla światowej klasy CIO, CTO i dyrektorów technologii. Czy kwalifikuję się?

Czy zgodność z RODO dotyczy amerykańskich firm?

W maju 2018 r. Unia Europejska wprowadziła jeden ze świata’S ścisły zestaw reguł ochrony danych osobowych. Formalna nazwa tego ustawodawstwa to ogólne rozporządzenie w sprawie ochrony danych, ale jest on bardziej znany jako RODO.

RODO reguluje dane osobowe, które są zdefiniowane jako wszelkie informacje, które mogą zidentyfikować osobę, zwaną a “Omysłowanie danych.” Dotknięte firmy muszą być zgodne z osobami danych’ Życzymy przetwarzania ich danych osobowych, a także prowadzić rejestra.

W tym artykule odpowiada na pytanie, kiedy i jak RODO dotyczy amerykańskich firm i obywateli USA? Obejmuje ustawę’podstawowe wymagania i specyfiki egzekwowania RODO, które każda firma z siedzibą w USA powinna znać.

Zakres danych osobowych w tej definicji jest znacznie szerszy niż większość standardów zgodności z USA, które mają tendencję do chroni tylko danych, które można wykorzystać do popełnienia oszustwa. Oprócz nazwisk i numerów ID, RODO chroni także informacje, które mogą połączyć się z osobą’S “Tożsamość fizyczna, fizjologiczna, genetyczna, psychiczna, ekonomiczna, kulturowa lub społeczna.”

RODO na pierwszy rzut oka

Jakie dane chroni RODO?

RODO ma na celu zapewnienie obywatelom UE większą kontrolę nad danymi osobowymi, które organizacje gromadzą, przetwarzają i przechowują. Zakres tego terminu “dane osobiste” W ramach RODO jest znacznie szerszy niż większość przepisów dotyczących zgodności amerykańskich, które mają tendencję do chroni tylko danych, które można wykorzystać do popełnienia oszustwa. Oprócz nazwisk i numerów ID, RODO chroni także informacje, które mogą połączyć się z osobą’S “Tożsamość fizyczna, fizjologiczna, genetyczna, psychiczna, ekonomiczna, kulturowa lub społeczna,” takie jak ich adres IP i dane plików cookie przeglądarki.

Ręcznie dobrana powiązana treść:

Czy RODO dotyczy obywateli UE mieszkających w USA?

NIE. RODO w szczególności odnosi się do “Osobnicy danych, którzy są w związku.” Jeśli obywatel UE mieszka w USA, RODO nie ma zastosowania. Jest to ważne rozróżnienie, które należy wziąć pod uwagę, jeśli cała lub prawie cała firma’S. Business odbywa się w lokalizacjach z cegły.

Ta kategoria obejmuje więcej organizacji, niż mogłoby się wydawać. Według sprzęgła grupy badawczej.co, 36% małych firm Don’T mieć jakąkolwiek stronę internetową. W rezultacie dla tych firm znacznie łatwiej jest ustalić, czy one’Robienie interesów z mieszkańcami UE.

Czy RODO dotyczy obywateli USA?

To może. RODO zabezpiecza informacje każdego mieszkającego w UE. Dlatego jeśli obywatel USA mieszka w kraju UE, gdy firma zbiera informacje na ten temat, RODO będzie miało zastosowanie do tych danych.

RODO nie dotyczy obywateli amerykańskich mieszkających w USA, ale w USA istnieje kilka federalnych i stanowych przepisów dotyczących prywatności, które oferują pewne podobne zabezpieczenia. W szczególności Kalifornijska ustawa o ochronie prywatności (CALOPPA) i California Consumer Privacy Act (CCPA) kontrolują zbieranie “dane osobowe” od każdej osoby mieszkającej w stanie Kalifornia (w tym mieszkańców Kalifornii, którzy są obywatelami UE).

Podobnie dzieci’S Online Act Ochrony Prywatności (COPPA) reguluje gromadzenie, wykorzystywanie i dystrybucję danych należących do każdego dziecka poniżej 13 roku.

Jak RODO dotyczy amerykańskich firm?

W przeciwieństwie do specyficznych dla branży przepisów dotyczących zgodności USA, takich jak HIPAA dla medycyny i GLBA dla finansów, RODO to ogólna regulacja prywatności danych, która dotyczy wszystkich organizacji, publicznych i prywatnych, które przechowują lub przetwarzają dane osobowe mieszkańców UE. Oznacza to, że wiele firm amerykańskich podlega rozporządzeniu.

Ręcznie dobrana powiązana treść:

Jednak RODO uznaje, że niektóre firmy spoza UE prowadzą interesy z obywatelami UE tylko przypadkowo. Według recitalu 23, zagraniczne firmy są zobowiązane do przestrzegania RODO tylko wtedy, gdy kierują mieszkańców UE w zakresie marketingu. Na przykład, jeśli masz zlokalizowaną stronę internetową w języku państwa członkowskiego UE i/lub ceny katalogowe w euro, można założyć, że kierujesz się do obywateli UE i dlatego podlegałby RODPR.

Ogólnie rzecz biorąc, możesz zostać pociągnięty do odpowiedzialności, jeśli którykolwiek z poniższych warunków jest prawdziwy:

• Regularnie przetwarzasz dane mieszkańców UE.
• Prawa i wolności tych danych mogą być zagrożone.
• Przetwarzasz informacje związane ze specjalnymi kategoriami danych, w tym stanem zdrowia, rasowym lub etnicznym, orientacją seksualną lub przekonaniami religijnymi.

Czy RODO dotyczy agencji rządowych USA i innych organizacji sektora publicznego?

Technicznie RODO dotyczy wszystkich organizacji, publicznych i prywatnych na całym świecie. Praktycznie jednak prawdopodobnie tylko niektóre agencje rządowe USA

RODO kontroluje działania przetwarzania wokół danych osobowych tylko wtedy, gdy przetwarzanie to służy jeden z dwóch celów:

• Oferowanie towarów lub usług
• Monitorowanie osobnika danych’zachowanie, jakie ma miejsce w Unii Europejskiej

Dlatego wiele organizacji sektora publicznego nie podlega RODO. Niektóre agencje federalne, w tym Departament Bezpieczeństwa Wewnętrznego i Departament Stanu, mogą mieć powód do gromadzenia danych osobowych od obywateli UE i wykorzystywania ich do monitorowania zachowań. Podobnie, jeśli państwowa komisja turystyczna zebrała dane w celu samodzielnego marketingu obywatelom UE lub jeśli college zebrał informacje o przyszłym studencie, RODO będzie miało zastosowanie RODO. Ale większość innych agencji rządowych, w tym te, które gromadzą dane związane z obywatelami UE’ interesy biznesowe, raczej nie podlegają RODO

Jakie są najważniejsze wymagania RODO dla amerykańskich firm?

Każda organizacja w sektorze prywatnym lub publicznym, która przechowuje lub przetwarza dane osobowe o mieszkańcach UE, musi przestrzegać RODO, nawet jeśli nie ma fizycznej obecności w UE. Najważniejsze wymagania są wyjaśnione poniżej.

Wymagania dotyczące kontrolerów i procesorów

Wymagania RODO zależą od tego, czy działasz jako kontroler, czy procesor:

• Kontrolery Zdefiniuj cele i środki przetwarzania danych osobowych. Muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić i wykazać, że przetwarzanie danych osobowych jest wykonywane zgodnie z RODO.
• Procesory Obsługuj dane osobowe na temat udokumentowanych instrukcji kontrolera. Procesory mogą być grupami wewnętrznymi, które utrzymują i przetwarzają dane dotyczące danych osobowych lub firmą outsourcingową, która wykonuje całość lub część tych działań.

RODO pociąga zarówno kontrolery, jak i procesory odpowiedzialne za naruszenie swoich przepisów. Dlatego to’możliwe, że zarówno firma, jak i partner przetwarzania danych, taki jak dostawca w chmurze, będą odpowiedzialne za grzywny i inne kary w ramach RODO, nawet jeśli wina jest całkowicie ze strony partnera przetwarzania.

Wymagania dotyczące umów przetwarzania danych

RODO wymaga, aby kontrolerzy i przetwórcy zawarli prawnie wiążącą umowę, gdy kontroler angażuje procesor do przetwarzania danych osobowych w jego imieniu. Kontrolerzy są zobowiązani do używania tylko procesorów, które zapewniają wystarczające gwarancje posiadania odpowiednich środków technicznych i organizacyjnych w celu przestrzegania RODO. Środki te powinny być szczegółowe w organizacji’Polityka bezpieczeństwa danych.

Artykuł 28 szczegółowo opisuje, co należy uwzględnić w umowie o przetwarzanie danych między kontrolerem danych a procesorem danych. Po pierwsze, musi zawierać następujące szczegóły:

• Temat, czas trwania, charakter i cel przetwarzania danych
• Rodzaj przetwarzanych danych osobowych
• Kategorie danych osobowych, których dane osobowe są przetwarzane
• Wymagania i prawa kontrolera

Ponadto umowa musi zawierać następujące przepisy:

• Procesor przetworzy dane osobowe otrzymane od kontrolera tylko na podstawie udokumentowanych instrukcji kontrolera (chyba że prawo do przetwarzania danych osobowych bez takich instrukcji).
• Procesor zapewnia, że ​​każda osoba przetwarzająca dane osobowe podlega obowiązku poufności.
• Procesor podejmuje wszystkie środki wymagane w art. 32, w tym wdrażanie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych otrzymanych od kontrolera.
• Procesor uzyskuje pisemną autoryzację dla dowolnych podprocesorów, które procesor może zaangażować w przetworzenie danych osobowych otrzymanych od kontrolera. Jeżeli kontroler przedstawi ogólne pisemne autoryzację do angażowania podprocesorów, kontroler musi mieć możliwość wcześniejszego sprzeciwu każdemu indywidualnemu podprocesowi, że procesor proponuje zaangażowanie.
• Wszelkie podprocesory zaangażowane przez procesor podlegają tym samym wymogom ochrony danych, co procesor i że procesor pozostaje bezpośrednio odpowiedzialny wobec kontrolera za wykonanie podprocesora’S Wymagania dotyczące ochrony danych.
• Procesor obsługuje kontroler poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych w celu odpowiedzi na żądania osobników danych w ramach RODO.

Ręcznie dobrana powiązana treść:

• Procesor obsługuje kontroler w celu zapewnienia zgodności z wymogami RODO w zakresie bezpieczeństwa przetwarzania danych (art. 32), powiadomienia o naruszeniach danych (art. 33 i 34) oraz oceny wpływu na ochronę danych (art. 35 i 36).
• Na końcu przetwarzania danych przez procesor i na kontrolerze’instrukcja s, procesor usuwa lub zwraca dane osobowe otrzymane od kontrolera.
• Procesor udostępnia kontrolerowi wszystkie informacje niezbędne do wykazania zgodności z art. 28 oraz że procesor pozwala na audyty przeprowadzone przez kontroler lub stronę trzecią w kontrolerze’s i imieniu.

Istnieją inne przepisy, które kontrolerzy i procesory mogą chcieć uwzględnić w umowie o przetwarzanie danych w poszczególnych przypadkach, ale które nie są obowiązkowe w ramach RODO, takie jak:

• Przepisy dotyczące odpowiedzialności (w tym odszkodowania)
• Szczegółowe (techniczne) przepisy bezpieczeństwa
• Dodatkowe przepisy dotyczące współpracy między kontrolerem a procesorem

Zasady dla międzynarodowych firm

Jeśli Twoja amerykańska firma jest częścią międzynarodowej firmy utworzonej w UE i regularnie otrzymujesz dane od swoich odpowiedników UE na temat obywateli UE, podlegasz zasadom regulującym te transfery danych między krajami. Te wiążące zasady korporacyjne (BCRS) są określone w art. 29 i zapewniają ramy dla międzynarodowych firm do przekazywania danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) do ich podmiotów stowarzyszonych zlokalizowanych poza EOG w zakresie zgodności prawnej z 8. zasadą ochrony danych i art. 25 dyrektywy 95/46/EC EC/WE EC/WE.

Reguły powiadomienia o naruszeniu danych

Powiadomienia o naruszeniu danych należy wydać, gdy naruszenie bezpieczeństwa prowadzi do przypadkowego lub niezgodnego z prawem ujawnienia, utraty lub zmiany danych osobowych. Prawo do prywatności danych RODO nakazuje, aby w przypadku naruszenia danych postawione osoby postawione’ prawa osobiste i swobody zagrożone i nie jesteś w stanie powstrzymać tych ryzyka, wszystkie osoby dotknięte dotkniętymi osobami należy powiadomić. Jeśli firma ustali, że nie ma takiego ryzyka, stanowisko to musi być poparte wiarygodnymi dowodami. Procesory danych, które doświadczają naruszeń, muszą również powiadomić odpowiedni kontroler danych. Musisz także powiadomić organy ochrony danych; Jeśli naruszenie wpływa na ludzi w wielu miejscowościach, ty’LL musi powiadomić organ z najszerszą jurysdykcją. Regulator nie powie, że powinieneś’T miało naruszenie. Powiedzą, że powinieneś mieć zasady, procedury i strukturę odpowiedzi, aby to szybko rozwiązać.

Chociaż prawny termin zgłoszenia naruszenia wynosi 72 godziny, nie czekaj do ostatniej godziny, aby to zrobić; Zgłoś raport, gdy tylko dowiesz się o naruszeniu i doradzisz organowi regulacyjnemu, że wprowadzasz proces reakcji.

Wymóg dotyczący oceny wpływu na ochronę danych

Artykuł 35 RODO wymaga od wszystkich firm przeprowadzenia ocen wpływu na ochronę danych (DPIAS) w celu oceny potencjalnego ryzyka danych i wykazania, w jaki sposób dane przepływają przez organizację. Istnieją cztery podstawowe elementy oceny wpływu na ochronę danych:

• Opis operacji przetwarzania
• Wyjaśnienie, dlaczego przetwarzanie ma miejsce i dlaczego jest to konieczne
• Opis podejmowanych środków w celu ograniczenia ryzyka i ochrony użytkowników’ Prywatność
• Konto szczegółowo opisujące ryzyko w porównaniu z korzyścią

RODO nie zapewnia konkretnej struktury tych ocen, ale określa, że ​​gromadzenie danych i przetwarzanie musi zawsze “Podaj ludzkość,” wskazując, że skupienie powinno być korzyścią dla osób, których dane.

Ręcznie dobrana powiązana treść:

Zgoda na przetwarzanie danych

Zgodnie z RODO firmy muszą otrzymać wyraźną zgodę w celu przetworzenia danych osobowych: każde dane dotyczące danych musi zgodzić się nie tylko po to, aby umożliwić gromadzenie i przechowywanie swoich danych, ale także wykorzystanie ich danych w sposób, w jaki zamierzasz zamierzasz.

Dane osoby mają prawo do wycofania zgody w dowolnym celu. Jeśli klient zdecyduje, że nie chce już odbierać ukierunkowanych reklam, które tworzysz za pomocą ich danych, musisz usunąć klienta z systemu.

Ochrona praw do danych

RODO wymienia osiem praw, które firmy mają obowiązek podtrzymywania. Oni są:

• Prawo do informacji o tym, co dzieje się z danymi osobowymi
• Prawo do kopii zebranych danych i wszelkich dodatkowych informacji dla kontekstu
• Prawo do skorygowania niedokładnych danych
• Prawo do usunięcia danych osobowych (w pewnych okolicznościach)
• Prawo do ograniczenia sposobu wykorzystywania danych
• Prawo do otrzymania raportu o tym, jakie dane zostały zebrane
• Prawo do zamówienia tego przetwarzania danych zaprzestania
• Prawo nie podlegać decyzjom podejmowanym na podstawie automatycznego przetwarzania danych

Ponadto firmy muszą sprawić, że osoby z danych wygodne jest wykonywanie tych praw. Na przykład firmy mogą zdecydować się na wydanie polityki prywatności i wymagać od klientów sprawdzenia “zgadzać się” skrzynka. Procedury te powinny zostać przedstawione w oświadczeniu o prywatności, które należy regularnie aktualizować (dobra kontrola wersji jest ostrożnym sposobem wykazania zgodności).

Ręcznie dobrana powiązana treść:

Mianowanie personelu

Komisja Europejska zaleca, aby każda dotknięta spółka posiadała oficera ochrony danych (DPO) na personelu. Musisz mieć DPO, jeśli obowiązuje którykolwiek z poniższych warunków:

• Jesteś organem publicznym, który przetwarza dane chronione przez RODO.
• Twoje podstawowe działania obejmują dużą, systematyczne monitorowanie danych.
• Przetwarzasz specjalną kategorię danych, taką jak stan zdrowia, pochodzenie rasowe lub etniczne, orientacja seksualna lub przekonania religijne.

Nawet gdy RODO nie wymaga wyraźnie powołania DPO, organizacje mogą czasem uznać za przydatne wyznaczenie DPO na zasadzie dobrowolności. DPO jest kamieniem węgielnym odpowiedzialności, a mianowanie DPO może wykazać i ułatwić zgodność, co daje przewagę konkurencyjną firmom, pokazując, jak etyczna jest Twoja organizacja. Artykuł 29 Strona robocza ochrony danych (‘WP29’) Zachęca do tych dobrowolnych wysiłków. (Ta grupa obejmuje przedstawicieli organów ochrony danych każdego państwa członkowskiego UE oraz wytyczne dotyczące spełnienia wymagań RODO, takie jak mianowanie DPO.)

DPO może być każdy pracownik, który zapewnia Twoją firmę’S Strategia ochrony danych jest zgodna z RODO. Jeśli nie masz’t masz fizyczną obecność w UE, ty’LL musi wyznaczyć przedstawiciela w kraju UE. DPO może mieć inne obowiązki, pod warunkiem, że nadal mają czas na monitorowanie zgodności z RODO.

Kiedyś’nazwał DPO lub zatrudnił kogoś nowego do wypełnienia roli, upewnij się, że wie, co powinni zrobić i mają zasoby niezbędne do tego. Kompleksowa lista kontrolna jest idealna. Oprócz zadań takich jak ułatwianie DPIAS i przeprowadzanie audytów, DPO działają jako pośredniki między zainteresowanymi stronami, takie jak organy nadzorcze, podmioty danych i jednostki biznesowe w organizacji.

Zauważ, że DPO nie są osobiście odpowiedzialni w przypadku niezgodności z RODO. Artykuł 24 wyjaśnia, że ​​jest to kontroler lub procesor, który jest wymagany do zapewnienia i możliwości wykazać, że przetwarzanie jest wykonywane zgodnie z przepisami RODO.

Ręcznie dobrana powiązana treść:

Później: wskazówki dotyczące uzgodnienia RODO

Najlepszym sposobem na osiągnięcie zgodności RODO jest zastosowanie odgórnego podejścia, myślenie o kluczowych celach, a następnie ustalenie, które kontrolki techniczne wybrać te cele. Oprócz oczywistych narzędzi zgodności RODO, należy pamiętać o trzech kluczowych rzeczach’Szukam zapewnienia bezpieczeństwa regulowanych danych:

Zarządzanie ryzykiem bezpieczeństwa

RODO podkreśla podejście oparte na ryzyku do ochrony danych i bezpieczeństwo systemów i usług przetwarzania. Musisz zidentyfikować i ocenić swoje ryzyko, a następnie podjąć odpowiednie środki w celu zarządzania nimi na podstawie takich czynników, jak:

• Dostępna technologia
• Koszt wdrażania narzędzi i procesów
• Charakter, zakres, kontekst i cel przetwarzania
• Dotkliwość i prawdopodobieństwo ryzyka
• Przetwarzasz dane osobowe
• Systemy, które przetwarzają dane

W przypadku gdy przetwarzanie danych może spowodować wysokie ryzyko praw i wolności osób, musisz podjąć DPIA, aby ustalić wpływ zamierzonego przetwarzania na ochronę danych osobowych oraz zidentyfikować środki techniczne i organizacyjne niezbędne do ograniczenia ryzyka. Jeśli środki te nie zmniejszają ryzyka do akceptowalnego poziomu, musisz skonsultować się z organem regulacyjnym danych przed rozpoczęciem przetwarzania.

Ręcznie dobrana powiązana treść:

Rządzenie

Musisz także wprowadzić odpowiednie zasady i procesy bezpieczeństwa informacji. Upewnij się, że prowadzisz rejestry działań przetwarzających i, w razie potrzeby, wyznacz funkcjonariusza ochrony danych.

Świadomość i szkolenie personelu

Pomóż swoim pracownikom bezpiecznie zarządzać danymi osobowymi, zapewniając odpowiednią edukację uświadamiającą, a także szkolenie w zakresie właściwego korzystania z systemów i narzędzi. Na przykład pracownicy muszą być kompetentni, aby nie przypadkowo przetwarzać danych osobowych (e.G., wysyłając go do nieprawidłowego odbiorcy).

Co oznacza RODO dla amerykańskich firm?

RODO reguluje gromadzenie i przetwarzanie danych osobowych należących do mieszkańców UE, nawet jeśli sama firma znajduje się w USA.

Jak RODO wpływa na firmy z siedzibą w USA?

Firmy amerykańskie muszą przestrzegać RODO, jeśli oferują towary lub usługi w szczególności mieszkańcom UE, lub jeśli monitorują zachowanie mieszkańców UE w związku.

Kiedy konieczna jest zgodność z RODO w Stanach Zjednoczonych?

Jeśli firma zbiera dane osobowe od mieszkańców UE w celach komercyjnych i robi to więcej niż okazjonalne, musi być zgodna z RODO .

Jakie są dane osobowe, według RODO, w USA?

Dane osobowe to każde informacje, które można powiązać z osobą’S tożsamość indywidualna lub społeczna. Obejmuje to osobę’Imię, miejsce zamieszkania, pracy lub powiązania religijne.

Co się stanie, jeśli amerykańskie firmy nie’t Śledź RODO?

Każda firma, która jest naruszona RODO, może podlegać grzywny w wysokości od 10 do 20 mln EUR lub do 4% firmy’s roczne przychody.

Jaka organizacja ma organ egzekucyjny, aby karać niezgodne firmy z USA?

Komisja Europejska jest oficjalnym organem regulującym RODO. Jeśli firma okaże się narusza tych przepisów, ale nie podlega Europie’J.

Gina ma silne doświadczenie w zakresie zgodności regulacyjnej, szczególnie w zakresie RODO i prania antynosowe oraz finansowanie terrorystyczne (AML/CTF). Posiada kwalifikacje w QFA, zarządzaniu MSC/zgodności, AML/CFT oraz HR Development & Training. Pracowała intensywnie nad usługami finansowymi przed łatwą zgodnością założycielską, organizacją, która łączy wszystkie obszary zgodności, aby pomóc przedsiębiorstwom spełniać wymagania regulacyjne.

UE vs Us: Jakie są różnice między ich przepisami dotyczącymi prywatności danych?

Wprowadzenie ogólnego rozporządzenia w zakresie ochrony danych (RODO) w maju 2018 r. Krajobraz prywatności danych w U.S. zmieniło się znacznie w ostatnich latach, a zasady ochrony danych są teraz coraz bardziej dostosowane do europejskiego podejścia, chociaż pozostają pewne duże różnice. W tym artykule dotyczy różnic między nowoczesnymi przepisami dotyczącymi prywatności danych w Unii Europejskiej i USA.

RODO: krótki przegląd

RODO to kompleksowe prawo dotyczące prywatności danych, które dotyczy organizacji, które gromadzą, przechowują lub przechowują dane osobowe należące do danych osobowych w państwach członkowskich UE. Komisja Europejska definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (podmiot danych). Organizacje działające w krajach UE, organizacje sprzedające towary lub usługi dla obywateli UE, oraz organizacje monitorujące zachowanie danych danych, muszą być zgodne z RODO. Zasady zgodności z RODO są znaczące i oparte są na siedmiu kluczowych zasadach, w tym minimalizacji w gromadzeniu danych, ograniczeniu przechowywania i odpowiedzialności. Szczegółowe kategorie wrażliwych danych wymagają dodatkowej ochrony. Niezgodność z RODO dzieli kary na dwa poziomy w oparciu o dotkliwość naruszeń. Standardowe naruszenia prowadzą do kar w wysokości do 10 mln EUR lub 2% rocznego globalnego obrotu, podczas gdy kary za poważniejsze naruszenia mogą wynosić do 20 mln EUR lub 4% rocznego obrotu. RODO zastąpiło dyrektywa ochrony danych, ponieważ prawo to uznano za niewystarczające pod względem zakresu i siły dla nowoczesnej ochrony prywatności danych w Europie. Od RODO’S Wdrożenie, kilka ważnych orzeczeń Europejskiego Trybunału Sprawiedliwości jeszcze bardziej wzmocniło prawa indywidualne, w tym umożliwienie stowarzyszeń ochrony konsumentów na podejmowanie reprezentatywnych działań w imieniu konsumentów dotkniętych naruszeniami RODO. Organy ochrony danych w każdym państwie członkowskim zazwyczaj zajmują się skargami w stosunku do naruszeń RODO.

Prawa prywatności danych i różnice w USA z UE

• Ustawa o przenośności i odpowiedzialności ubezpieczeń zdrowotnych (HIPAA)– To federalne prawo chroni wrażliwe informacje o opiece zdrowotnej pacjentów, określając, w jaki sposób dostawcy opieki zdrowotnej muszą zabezpieczyć takie dane przed oszustwami i kradzieżą. Prawo stawia również ograniczenia dotyczące tego, w jaki sposób organizacje mogą wykorzystywać lub ujawniać chronione informacje o zdrowiu. Aktualizacje HIPAA wydają się prawdopodobnie ogłoszone w 2022 lub 2023 roku.
• Ustawa Gramm-Leach-Bliley (GLBA)– Ustawa ta dotyczy instytucji finansowych i określa obowiązki i standardy w celu ochrony poufności i bezpieczeństwa konsumentów’ Niepubliczne dane osobowe. Federalna Komisja Handlu (FTC) ogłosiła ważne zmiany w GLBA’zasada zabezpieczeń (z powodu stania się obowiązkowego w listopadzie 2022 r.) Szczegóły bardziej nakazowych środków bezpieczeństwa danych instytucje finansowe należy podjąć, aby chronić dane klientów.
• Federalna ustawa o zarządzaniu bezpieczeństwem informacji (FISMA)-To federalne prawo wymaga od agencji federalnych opracowywania, dokumentowania i wdrażania programu w całej agencji, który zapewnia bezpieczeństwo informacji. FISMA 2022 to dwustronna aktualizacja FISMA, która przyjmuje najnowocześniejsze i strategiczne podejście, aby zapewnić federalne systemy informatyczne i odpowiedzieć na dziś i odpowiedzieć na dziś’Cyberprzestępstwa, które zagrażają federalnym systemom informacyjnym i informacyjnym przed nieautoryzowanym dostępem, wykorzystaniem i ujawnieniem.

Zmiana praw USA

Godnym uwagi trendem jest ostatnie lub nadchodzące zmiany w kilku istniejących u.S Prawa ochrony danych, które odzwierciedlają coraz bardziej powiązany świat z większymi ilościami danych niż kiedykolwiek poruszania się po bardziej złożonym ekosystemie informacyjnym. Konieczność tych zmian jest przykładem innego podejścia między prawem w UE i USA.

RODO prawdopodobnie ustanawia standard dla prywatności danych na całym świecie i nie ma’Trzeba było jeszcze zmienić. Ale brak prawdziwego podejścia do prywatności w Ameryce’S odmienne przepisy dotyczące prywatności danych umożliwiają aktualizację ich zgodnych z prawami podstawowymi, które ludzie oczekują teraz na sposób wykorzystywania, udostępniania lub ujawniania ich danych.

CCPA i więcej

W ostatnich latach pojawiły się przepisy stanowe, które próbują zapewnić silniejszą ochronę danych osobowych osobom w tych jurysdykcjach i większej przejrzystości w zakresie udostępniania danych. U.S. Prawo to’Najbardziej porównywalnym z RODO to California Consumer Prywatność (CCPA), która dotyczy konsumentów, którzy są mieszkańcami Kalifornii.

CCPA zajął obowiązki w styczniu 2020 r., Ale zbliżająca się Kalifornijska ustawa o prawach prywatności (CPRA) zmienia przepisy dotyczące prywatności w celu rozszerzenia praw do rezygnacji i wprowadzenia innych zmian, które doprowadzają ją do jeszcze bardziej dostosowania do RODPR. CPRA wchodzi w życie w styczniu 2023 r. Co ciekawe, Virginia i Kolorado to jedyne dwa inne u.S. Stany, które podpisały kompleksowe prawo dotyczące prywatności danych.

Różnice kulturowe

Istnieją ważne różnice kulturowe, które mogą’t, gdy oceniają różne przepisy dotyczące prywatności danych między UE a nami. Przykładem różnych podejść to sposób, w jaki UE Karta praw fundamentalnych ustanawia ochronę danych jako podstawowe prawo. Ten pierwszy sposób myślenia o prywatności prawdopodobnie wynika z historii jednostek’ Informacje wykorzystywane do nikczemnych celów sięgających czasów narodowego socjalizmu i komunizmu.

Natomiast U.S. Tradycyjnie przyjął bardziej prawidłowe podejście, które sprzyja firmom, które zbierają i wykorzystują dane osobowe. Wykorzystanie danych osobowych do celów komercyjnych przekracza znaczenie prywatności danych. W ostatnich latach nastąpił sposób myślenia w kierunku lepszej ochrony osób, ponieważ naruszenie danych nadal powodują spustoszenie, ale leżące u podstaw różnice kulturowe zajmie więcej czasu, aby rozpuścić i przynieść USA w pełniejsze wyrównanie z UE’S Specie i prawa.

Zastąpienie frameworka Tarcza prywatności

Ważna zmiana regulacyjna została ogłoszona w marcu 2022 r. Wraz z zestawem prywatności transatlantyckich danych w celu zastąpienia UE-U.S. Framework ochrony prywatności. Oba te ramy regulacyjne odnoszą się do transferów danych w UE do Stanów Zjednoczonych.

Europejski Trybunał Sprawiedliwości unieważnił tarczę prywatności w 2020 r. Po tym, jak austriacki działacz z powodzeniem twierdził, że ramy nie chronią Europejczyków przed u.S. nadzór. To orzeczenie doprowadziło do niepewności wielu firm, w tym Google i Facebooka, o transferach danych transgranicznych.

Transatlantyckie ramy prywatności danych wprowadzają zabezpieczenia, które ograniczają dostęp do danych przez U.S. władze wywiadowcze do tego, co jest konieczne i proporcjonalne w celu ochrony bezpieczeństwa narodowego. Rezultatem prawdopodobnie będą wolne przepływy danych transgranicznych i mniej niepewności regulacyjnej dla firm działających w obu regionach.

Prowadzenie złożonej gospodarki danych

Dzisiejsze firmy muszą poruszać się po złożonej gospodarce danych, w której rosnąca liczba przepisów wymaga od nich bardzo ostrożności w zakresie zbierania, przechowywania i wykorzystywania danych klientów. Istnieją godne uwagi luki w zakresie przepisów dotyczących prywatności danych USA w porównaniu z Europą, ale fala nadal zmienia się, gdy istniejące prawa amerykańskie są zmieniane, a nowe wchodzą w życie.

Niezależnie od tego, które prawo (twoje) Twoja firma musi przestrzegać, zgodność z przepisami dzisiaj’S Dane przepisy dotyczące prywatności są niezbędne do utrzymania zaufania klientów i uniknięcia istotnych konsekwencji prawnych i finansowych.

RODPR USA

Ogólne rozporządzenie w sprawie ochrony danych (RODO) i dyrektywa EPRivacy (EPR) wpływają na to, jak jako właściciel witryny musisz uzyskać i przechowywać plik cookie od gości z UE, nawet jeśli Twoja witryna ma siedzibę w USA.

Wypróbuj nasz bezpłatny test zgodności, aby sprawdzić, czy Twoja witryna’S Korzystanie z plików cookie i śledzenie online jest zgodne z RODO/EPR.

Zaktualizowano 7 lipca 2020 r.

Na tym blogu przyglądamy się, w jaki sposób RODO wpływa na USA i jak witryny amerykańskie mogą umożliwić zgodność z prawem danych UE za pomocą platform zarządzania zgodą, takimi jak platforma zarządzania zgodą CookieBot (CMP).

Przyglądamy się również branży technologicznej’s narracja “Ewolucja technologiczna”, w którym prywatność staje się nieuniknionym kompromisem i jak RODO w USA może działać jako mapa drogowa dla procesów demokratycznych wokół silniejszego regulacji prywatności.

RODO w USA

Ogólne rozporządzenie w sprawie ochrony danych (lub RODO) jest prawem w całym UE, które chroni Europejczyków w odniesieniu do przetwarzania ich danych osobowych, a także ustalanie zasad dotyczących swobodnego przemieszczania danych osobowych.

Był egzekwowany Maj 2018 r.

Możesz zapytać, co ma z tobą wspólnego prawo UE, jeśli ty i Twoja witryna macie siedziby w USA?

Prawda jest dużo.

Czy RODO wpływa na USA?

RODO ma Zakres pozostrzeżnikowy, co oznacza, że ​​strony internetowe poza UE, które przetwarzają dane osób w UE, są zobowiązane do przestrzegania RODO.

Tak więc, jeśli masz stronę internetową w USA i masz odwiedzających z UE, RODO dotyczy Twojej domeny. Dlatego w takim przypadku musisz spełnić wymagania i warunki RODO w zakresie przetwarzania danych.

Wątpliwości, czy Twoja witryna jest zgodna z RODO? Przetestuj z bezpłatnym testem zgodności CMP Cookiebot.

RODO i PII

PII oznacza dane osobowe, I.mi. wszelkiego rodzaju dane, które można powiązać z jednostką i tym samym zidentyfikować ich.

To może być wszystko od Pierwszy I nazwiska, Adresy e-mail, Geolokalizację, I Historia przeglądarki, wśród wielu innych.

Ważne jest, aby wiedzieć, że w RODO PII nie jest wspomniane jako takie. Tak jest ponieważ dane osobowe jest terminem używanym przede wszystkim w USA, podczas gdy europejski odpowiednik, który występuje w RODO dane osobiste.

Jednak na tym blogu, kiedy mówimy o RODO, PII jest używany zamiast tego “dane osobiste”.

Tak więc w RODO przetwarzanie PII jest określane przez ścisłe zasady i warunki. Są one na miejscu, aby chronić użytkowników przed gromadzeniem i wykorzystywaniem danych bez ich wiedzy i zgody.

W RODO PII jest chronione, a mianowicie dlatego, że może naruszać jednostkę’życie prywatne, a nawet wyrządzić szkodę w połączeniu z innymi danymi.

• Za zgodą tego, co umożliwia dane,
• Przetwarzanie niezbędne do wykonania umowy,
• Przetwarzanie niezbędne do zgodności z obowiązkami prawnymi,
• Przetwarzanie niezbędne do ochrony “interesy wartościowe” przedmiotu danych,
• Przetwarzanie niezbędne do zadań przeprowadzonych w interesie publicznym,
• Przetwarzanie niezbędne do celów uzasadnionych interesów realizowanych przez kontroler lub przez stronę trzecią.

Z prawnych podstaw do przetwarzania PII, Uzyskanie zgody osobnika danych jest najczęściej używany dla stron internetowych, które przetwarzają, zgodnie z RODO, PII w sprawie osób w UE.

RODO dla amerykańskich firm i stron internetowych

Więc, Jeśli Twoja amerykańska strona internetowa ma odwiedzających UE a zgoda jest podstawą prawną, na której opierasz przetwarzanie PII, RODO ma szczególne wymagania dotyczące tego, jak musisz uzyskać zgodę i co stanowi ważną zgodę.

Dla strony internetowej do osiągnięcia Zgodność z RODO w USA, Te warunki zgody muszą zostać spełnione.

• uzyskać jasne i jednoznaczne zgoda od użytkowników,
• przed Wszelkie przetwarzanie danych osobowych,
• Po Określanie wszystkich rodzajów plików cookie i innych technologii śledzenia obecne i działające na swoich stronach,
• w łatwe do zrozumienia sposoby umożliwiające użytkownikom do zgody I cofnąć zgodę W każdej konkretnej kategorii plików cookie,
• aby być w stanie bezpiecznie i poufnie dokument każda zgoda użytkownika,
• i prosić o Regularnie odnowiona zgoda.

Platforma zarządzania zgodą (znaną jako CMP) może pomóc Twojej witrynie stać się zgodnym z RODO przy minimalnym wysiłku w Twoim imieniu.

Cookiebot CMP specjalizuje się w dokładnie tym niszowym obszarze. Nasza technologia skaningowa znajduje wszystkie pliki cookie i trackerów na Twojej stronie, zatrzymuje je wszystkie, dopóki użytkownicy końcowi wyrazili zgodę, po czym każda zgoda jest przechowywana do dokumentacji prawnej.

Wybór platformy zarządzania zgodą, taką jak Cookiebot CMP oznacza spokój dla ciebie i twoich użytkowników końcowych-my’zajął ciężką pracę w ochronie użytkowników’ prywatność, dzięki czemu możesz skupić się na prowadzeniu witryny i biznesu.

Jesteśmy oparte na Europie z silną wiedzą na temat zarządzania zgodą, która umożliwia zgodność z RODO w USA. Mamy również oko na powstające przepisy dotyczące prywatności na całym świecie, w tym Kalifornijską ustawę o prywatności konsumentów (CCPA) i drobne przepisy dotyczące prywatności, takie jak nowa zmiana prywatności w Nevadzie.

RODO – UE vs Us

Następne pytanie może brzmieć, czy istnieje równoważny RODO, coś w rodzaju “Wersja RODPR USA” że na poziomie federalnym określa prawo kraju, jeśli chodzi o pliki cookie i śledzenie stron internetowych oraz prywatność użytkowników?

Odpowiedź to NIE.

W USA nie ma nic zbliżonego do RODO (lub jakiegokolwiek innego prawa cookie). Podczas przetwarzania Europejskiego PII RODO obowiązuje. Podczas przetwarzania amerykańskiego PII w Stanach Zjednoczonych nie ma żadnego szerokiego prawa federalnego.

RODO w stosunku do amerykańskiego prawa prywatności

W rzeczywistości, w przypadku braku takiego federalnego rozporządzenia dotyczącego prywatności danych, wiele stanów USA zaczęło samodzielnie ustawić prawodawstwo, aby zabezpieczyć konsumentów prawa do rezygnacji z sprzedaży danych stron trzecich.

Należą do nich Kalifornijska ustawa o prywatności konsumenckiej (znanej jako CCPA), która weszła w życie 1 stycznia 2020 r. Oraz Nevada Prywatność, która została egzekwowana 1 października 2019 r.

CCPA zabezpiecza obywateli Kalifornijczyków prawo do rezygnacji ze sprzedaży danych, a także prawa do uzyskania dostępu do ich danych i żądania usunięcia. Nevada Law Isn’T prawie tak ambitny jak CCPA, ale wzmacnia mieszkańców Nevady z prawem do rezygnacji z sprzedaży danych innych firm.

RODO w USA-przepisy ogólnokrajowe wyłaniające się jako równoważniki RODO USA.

Cookiebot CMP oferuje zgodność CCPA i RODO.

Który egzekwuje RODO w USA?

RODO jest egzekwowane przez krajowe organy ochrony danych w UE, nawet jeśli grzywna lub kara jest nałożona na spółkę amerykańską.

W rzeczywistości pierwsze egzekwowanie prawa RODO było przeciwko kanadyjskiej firmie, a największym do tej pory RODO jest grzywna w wysokości 50 milionów dolarów w stosunku do Google wydanej przez francuskiego organu ds. Ochrony danych za trzy osobne naruszenia RODO, w tym nie uzyskanie ważnej zgody na przetworzenie PII Europejczyków.

Tak więc bycie stroną internetową w USA nie zwolni cię z zgodności z GPDR, a odległość terytorialna nie ochroni cię też przed jej egzekwowaniem.

To’S Dlatego dostawca zarządzania zgodą jest inteligentnym wyborem dla stron internetowych o różnych kształtach i rozmiarach, niezależnie od tego, gdzie na świecie’oparte na RE, aby umożliwić zgodność z RODO, uniknąć ciężkich grzywien i chronić prywatność swoich użytkowników.

Wypróbuj Cookiebot CMP za darmo, aby umożliwić w USA zgodność RODO.

RODO i udostępnianie danych między USA i UE

Stanów Zjednoczonych Prywatności to sposób dla amerykańskich firm i organizacji na uzyskanie umowy o adekwatności z UE, umożliwiając bezpłatne przenoszenie danych między USA a UE.

• Kraj otrzymujący dane ma umowę o adekwatności z UE,
• Lub
• Procesor danych lub kontroler pokazuje odpowiedni poziom zabezpieczeń prywatności danych (takich jak amerykańska tarczę prywatności).

Program amerykańskiej tarczy prywatności umożliwia firmom z siedzibą w USA “dołączyć do ram tarczy prywatności, aby skorzystać z ustaleń adekwatności”, co oznacza, że ​​certyfikowane amerykańskie firmy są uprawnione do przesyłania i przetwarzania danych bez ograniczeń w UE.

Mimo że amerykański program ochrony prywatności jest uznawany za odpowiedni sposób przesyłania danych do USA z UE i odwrotnie, Stany Zjednoczone w całości nie określają się na liście krajów, które UE uznała za odpowiedni poziom prawa ochrony danych.

Oczywistym powodem zwolnienia USA na liście odpowiednich krajów jest brak jednolitego, federalnego ustawy o ochronie danych (RODO USA), które gwarantuje takie same prawa Amerykanom, co RODO dla Europejczyków.

Jednak w czasach wielkich przebudzeń prywatności wiele oczu znajduje się w branży technologicznej i Waszyngtonie D.C. W miarę jak wyrastają rozmowy federalnych przepisów dotyczących prywatności.

RODO i Dolina Krzemowa

Prywatność jest gorącym tematem w epoce Doliny Krzemowej i stała się jeszcze gorętsza po skandalu prywatności otaczającym Cambridge Analytica. Najwyraźniej osiągnął punkt wrzenia, ponieważ publiczne nastroje wobec firm technologicznych jest kwaśne, a główny kandydat polityczny wzywa do zerwania Google i Facebooka na podstawie antykonkurencyjnej.

Lobbowanie technologiczne i prywatność danych w USA

Google, Facebook, Apple, Amazon i Microsoft wydały 582 miliony dolarów na lobbing polityczny w latach 2005–2018. Google wspomniał o prywatności w 64% swoich raportów lobbingowych, podczas gdy Facebook wspomniał o tematu w 61% swoich raportów.

Ogólnie temat prywatności jest zdecydowanie najbardziej lobbowany na temat, z ponad 3.240 wzmianek we wszystkich zgłoszonych raportach wyżej wymienionych gigantów technologicznych.

Powszechna narracja Doliny Krzemowej-firm technologicznych, takich jak Google, Facebook i Amazon-jest to, że prywatność jest nieuniknionym kompromisem ewolucji technologicznej, która napędza postęp w ludzkim postępie.

Jest to niepokojące, ponieważ zmniejsza niebezpieczeństwa związane z erozją prywatności poprzez rozwój technologiczny.

Sugeruje to, że polityczna regulacja praktyk reklamowych Google i Facebooka – co Harvard Prof. Emerita Shoshana Zuboff słynęła “Kapitalizm nadzoru” – jest niemożliwe od samego początku: że giganci technologiczni są zbyt duże, aby mogli być przywiązani do wszelkich przepisów dotyczących ochrony prywatności.

Nadzór nie jest nieuniknionym końcem technologii

“Ewolucja jest straszną metaforą technologii”, Argumentuje, że pisarz technologiczny Rose Eveleth dla amerykańskiej witryny informacyjnej Vox i twierdzi, że mówienie o rozwoju i rozwoju technologii w kategoriach ewolucji przesuwa kwestię regulacji i kontroli na obrzeża rozmowy publicznej.

Twierdzenie, że firmy technologiczne mogą’być ukształtowane lub regulowane z publicznością’Zainteresowanie, pisze Eveleth, polega na argumentowaniu, że zasadniczo różnią się one od jakiegokolwiek innego branży.

Są to branże jak każde inne, czy to’S Olej lub węgiel lub farmacja. Prywatność kosztem postępu technologicznego jest fałszywą narracją. Unia Europejska’Ogólne rozporządzenie w zakresie ochrony danych jest szlachetnym przykładem, że przepisy i regulacja mogą wzmocnić obywatelom prawa do prywatności, bez zatrzymywania rozwoju technologicznego lub pogarszania produktów.

Przeciwnie, RODO specjalnie nakazuje prywatność według projektu w swoim art. 25, co oznacza “Ochrona danych poprzez projektowanie technologii”, I.mi. że prywatność należy myśleć i wbudować w rozwój technologii.

Dlatego widzimy, jak amerykańskie firmy takie jak Brave – przeglądarka zwiększająca prywatność – publicznie dążącą do silniejszych przepisów dotyczących prywatności, zarówno w USA, jak i w UE.

W rzeczywistości w październiku 2019 r. Brave przedłożył list do wszystkich dwudziestu ośmiu rządów UE, wzywając ich do wzmocnienia nadchodzącego prawa europejskiego o nazwie Regulaminu Eprivacy, który ma jeszcze bardziej zwiększyć grę prywatności danych europejskich od RODPR.

Narracja, która promuje ewolucję technologiczną, w której prywatność jest nieuniknionym kompromisem, również opozycja wobec produktów i usług inwazyjnych prywatności jako oporność na sam postęp w ludzkim postępie.

To oczywiście źle.

Uważamy, że mają ogromne znaczenie dla zapewnienia prywatności we wszystkich aspektach ludzkiej egzystencji, szczególnie na terenach cyfrowych, gdzie jest zagrożona praktykami branży nielegalnej technologii.

RODO jako mapa drogowa

RODO jest przykładem odzyskania kontroli nad Run-Amok Tech Industries. RODO jest przykładem, że prywatność nie jest naturalnym kompromisem ewolucji technologii.

Demokracja to system, który zapisuje prywatność jako prawo ludzi. To poprzez proces demokratyczny – a nie postęp technologiczny – panujemy w kapitalizmie nadzoru i zabezpieczamy prywatną, bezpłatną przyszłość dla przyszłych pokoleń.

Właśnie dlatego przepisy takie jak RODO i nadchodzące regulacje eprivacy w UE są kamieniami milowymi osiągnięć regulacyjnych, które, miejmy nadzieję, zainspirują amerykańskie odpowiedniki.

Są one na horyzoncie, z Kalifornijską ustawą o prywatności konsumenckiej (CCPA) jako Lodestar dla przyszłych amerykańskich przepisów dotyczących prywatności, i mam nadzieję, że ostatecznie silne prawo federalne, które wywołuje prywatność obywateli amerykańskich, tak jak RODO dla Europejczyków.

Do tego czasu korzystanie z CookieBot CMP gwarantuje użytkownikom najlepszą ochronę prywatności przed plikami cookie i urządzeniami do śledzenia innych firm oraz umożliwia zgodność z RODO dla Twojej witryny.

FAQ

Co to jest RODO?

Ogólne rozporządzenie w sprawie ochrony danych (RODO) to ustawa o ochronie prywatności danych UE, która reguluje gromadzenie i wykorzystanie danych osobowych osób w Unii Europejskiej. RODO wymaga, aby strony internetowe najpierw prosić i uzyskać wyraźną zgodę od swoich odwiedzających, zanim będzie mogła zbierać i przetwarzać swoje dane osobowe.

Czy RODO ma zastosowanie w USA?

Tak, jeśli Twoja amerykańska strona internetowa gromadzi i przetwarza dane osobowe na temat osób w UE, musisz przestrzegać RODO. Musisz zapytać i uzyskać wyraźną zgodę podmiotów danych (Twoich użytkowników w UE), zanim legalnie możesz zebrać swoje dane osobowe.

Jakie są dane osobowe w ramach RODO?

RODO definiuje dane osobowe jako wszelkie informacje, które są w stanie zidentyfikować żywą osobę bezpośrednio lub pośrednio. Dane osobowe w ramach RODO obejmują bezpośrednie identyfikatory, takie jak nazwy, adresy, numery ubezpieczenia społecznego, dane zdrowotne, ale także pośrednie identyfikatory, takie jak adresy IP, pliki cookie, przeglądarka i historia wyszukiwania.

Jak moja witryna może stać się zgodna z RODO?

Korzystanie z platformy zarządzania zgodą do kontrolowania Twojej witryny’Pliki cookie i zarządzaj zgodą użytkowników na gromadzenie ich danych osobowych to bezpieczny sposób na umożliwienie zgodności RODO w Twojej domenie.