Имеет ли значение GDPR в США

Поддержание соответствия GDPR не только в интересах ваших клиентов, но и в интересах вашего бизнеса. Ужасные истории о несоблюдении и нарушениях данных могут сопровождаться огромными штрафами. В зависимости от размера вашего бизнеса, штрафы могут варьироваться от 11 до 21 млн. Долл. США или 2 до 4% от вашего годового глобального оборота.

GDPR в США? Новое законодательство штата делает это ближе к реальности

Общее регулирование защиты данных Европейского Союза («GDPR») хорошо известно как самый жесткий закон о конфиденциальности и безопасности в мире, поскольку оно имеет широкий охват и навязывает большие штрафы против тех, кто нарушает его стандарты конфиденциальности и безопасности (которые довольно широкие). Влияние GDPR уже ощущалось в Соединенных Штатах с момента вступления в силу в 2018 году, и теперь U.С. Законодатели во многих штатах переезжают на принятие аналогичных законодательства. Калифорнийский Закон о защите прав потребителей («CCPA») был первым примером воздействия GDPR на Соединенные Штаты, поскольку Калифорния установила установление и правила, которые отражали GDPR в нескольких отношениях. Теперь Вирджиния пришла в движение, что может быть годичной цепочкой государств, принимающих аналогичное законодательство. В частности, Вашингтон и Нью -Йорк предложили законодательство после рамки CCPA. Эта статья будет сравнивать CCPA с недавно принятыми и предлагаемыми законами о конфиденциальности в Соединенных Штатах.

Недавно принятые и предлагаемые акты конфиденциальности:

Недавно принятый акт Вирджинии

2 марта 2021 года Вирджиния приняла Закон о защите данных потребителей («CDPA»), второй комплексный закон о конфиденциальности потребительских данных в Соединенных Штатах. CDPA вступит в силу 1 января 2023 года. CDPA применяется к лицам или организациям, которые ведут бизнес в Вирджинии или производят продукты или услуги, предлагаемые жителям Вирджинии, и что «контролируют или обрабатывают» персональные данные. Закон применяется к предприятиям, которые (1) контролируют или обрабатывают личную информацию как минимум 100 000 потребителей или (2) контролируют или обрабатывают данные не менее 25 000 жителей Вирджинии, которые также получают 50% или более их валового дохода от продажи личных данных.

CDPA внимательно следует за рамками CCPA; Однако есть несколько ключевых различий:

• CDPA не содержит частного права на действие. Скорее все действия должны быть предприняты Генеральным прокурором Вирджинии.
• CDPA, как и CCPA, освобождает данные, которые уже регулируются определенными перечисленными федеральными законами, такими как HIPAA, GLBA, FCRA, FERPA и COPPA. Однако в соответствии с CDPA освобождение GLBA шире, поскольку он полностью освобождает финансовые учреждения, а не только субъекты данных. Кроме того, существуют освобождения на основе данных для Закона о справедливой кредитной отчетности, Закона о защите конфиденциальности водителя, а также Федеральный Закон о правах на образование и конфиденциальность, а также некоммерческие организации.
• CDPA содержит требование о выборе для обработки конфиденциальных личных данных, если не освобождено.
• CDPA определяет «потребителя» более узко, чем CCPA. CDPA исключает тех, кто действует в коммерческом или занятости.
• В соответствии с CDPA «продажа личной информации» требует, чтобы рассмотрение было денежным, чтобы квалифицироваться как продажа данных. Напротив, CCPA допускает денежное или «другое ценное рассмотрение.”

Предложенный Закон о Вашингтоне

Закон о конфиденциальности Вашингтона, законопроект Сената 6281 («WPA»), предлагается законодательство, которое отражает CCPA. Как и GDPR и CCPA, WPA увеличивает права потребителей в отношении их личных данных и гарантирует, что предприятия прозрачны в отношении сбора и обработки потребительских данных. Кроме того, WPA позволяет потребителям отказаться от продажи своих личных данных. WPA будет применяться к предприятиям, чьи продукты или услуги предназначены для потребителей Вашингтона, если бизнес: (1) контролирует или обрабатывает данные более 100 000 потребителей, или (2) получает не менее 50% доходов от продажи личных данных и обрабатывает или контролирует личные данные более 25 000 потребителей.

WPA и CCPA имеют важные сходства, такие как: (1) 30-дневный период лечения; (2) бизнес должен удалить личные данные потребителя по их запросу; и (3) ответственность за бизнес за то, чтобы она была проактивна, рассказывая потребителю, какие конкретные виды личной информации собирают бизнес и как используются такие данные. Однако между ними существуют важные различия:

• WPA ограничивает определение «Персональные данные» информацией, касающейся «идентифицированного или идентифицируемого естественного лица», тогда как определение CCPA остается широким и применяется к информации, связанной с «конкретным потребителем или домохозяйством.”
• WPA явно предотвращает местные законы, постановления и правила в отношении обработки личных данных контроллерами или процессорами. CCPA не.
• WPA, в отличие от CCPA, не включает в себя требование о пороге дохода.
• WPA, в отличие от CCPA, включает в себя положение о «дискриминации», которое мешает предприятиям принимать окончательные автоматические решения.
• WPA ограничивает, как технология распознавания лиц может использоваться, где CCPA не имеет аналогичного положения. (Новые обязательства по признанию лиц в отношении компаний, которые используют признание лиц, в случае принятия будут превышать текущие обязательства, с которыми компании сталкиваются в соответствии с Законом о биометрической конфиденциальности Вашингтона (RCW 19.375).)

Предложенный Нью -Йоркский акт

Из всего предлагаемого законодательства о конфиденциальности, Закон о конфиденциальности Нью -Йорка (S5642) («NYPA»), вероятно, является наиболее ожидаемым, потому что его язык много BO

Имеет ли значение GDPR в США

Поддержание соответствия GDPR не только у ваших клиентов’ наилучшие интересы, но в вашем бизнесе’S БЕСПЛЕКТОР. Ужасные истории о несоблюдении и нарушениях данных могут сопровождаться огромными штрафами. В зависимости от размера вашего бизнеса, штрафы могут варьироваться от 11 до 21 млн. Долл. США или 2 до 4% от вашего годового глобального оборота.

GDPR в США? Новое законодательство штата делает это ближе к реальности

Европейский Союз’S Общее правила защиты данных (“GDPR”) хорошо известен как самый жесткий закон о конфиденциальности и безопасности в мире, поскольку он имеет широкий охват и навязывает большие штрафы против тех, кто нарушает ее стандарты конфиденциальности и безопасности (которые довольно широкие). Влияние GDPR уже ощущалось в Соединенных Штатах с момента вступления в силу в 2018 году, и теперь U.С. Законодатели во многих штатах переезжают на принятие аналогичных законодательства. Калифорнийский закон о защите прав потребителей (“CCPA”) был первым случаем GDPR’Влияние в Соединенных Штатах, поскольку Калифорния внедрила закон и правила, которые отражали в нескольких отношениях. Теперь Вирджиния пришла в движение, что может быть годичной цепочкой государств, принимающих аналогичное законодательство. В частности, Вашингтон и Нью -Йорк предложили законодательство после рамки CCPA. Эта статья будет сравнивать CCPA с недавно принятыми и предлагаемыми законами о конфиденциальности в Соединенных Штатах.

Недавно принятые и предлагаемые акты конфиденциальности:

Недавно принятый акт Вирджинии

2 марта 2021 года Вирджиния приняла свой Закон о защите данных потребителей (“CDPA”), второй комплексный закон о конфиденциальности потребительских данных в Соединенных Штатах. CDPA вступит в силу 1 января 2023 года. CDPA применяется к лицам или организациям, которые ведет бизнес в Вирджинии или производят продукты или услуги, предлагаемые жителям Вирджинии, и что “управление или процесс” личные данные. Закон применяется к предприятиям, которые (1) контролируют или обрабатывают личную информацию как минимум 100 000 потребителей или (2) контролируют или обрабатывают данные не менее 25 000 жителей Вирджинии, которые также получают 50% или более их валового дохода от продажи личных данных.

CDPA внимательно следует за рамками CCPA; Однако есть несколько ключевых различий:

• CDPA не содержит частного права на действие. Скорее все действия должны быть предприняты Генеральным прокурором Вирджинии.
• CDPA, как и CCPA, освобождает данные, которые уже регулируются определенными перечисленными федеральными законами, такими как HIPAA, GLBA, FCRA, FERPA и COPPA. Однако в соответствии с CDPA освобождение GLBA шире, поскольку он полностью освобождает финансовые учреждения, а не только субъекты данных. Кроме того, существуют освобождения на основе данных для Закона о справедливой кредитной отчетности, драйвер’Закон о защите конфиденциальности, а также Федеральный Закон о правах на образование и конфиденциальность, а также некоммерческие организации.
• CDPA содержит требование о выборе для обработки конфиденциальных личных данных, если не освобождено.
• CDPA определяет “потребитель” более узкий, чем CCPA. CDPA исключает тех, кто действует в коммерческом или занятости.
• Под CDPA “Продажа личной информации” требует, чтобы рассмотрение было денежным, чтобы квалифицироваться как продажа данных. Напротив, CCPA допускает денежную или “Другое ценное рассмотрение.”

Предложенный Закон о Вашингтоне

Закон о конфиденциальности Вашингтона, законопроект Сената 6281 (“WPA”) предлагается законодательство, которое отражает CCPA. Как GDPR и CCPA, WPA увеличивает потребителей’ Права в отношении их личных данных и гарантируют, что предприятия прозрачны в отношении сбора и обработки данных потребителей. Кроме того, WPA позволяет потребителям отказаться от продажи своих личных данных. WPA будет применяться к предприятиям, чьи продукты или услуги предназначены для потребителей Вашингтона, если бизнес: (1) контролирует или обрабатывает данные более 100 000 потребителей, или (2) получает не менее 50% доходов от продажи личных данных и обрабатывает или контролирует личные данные более 25 000 потребителей.

WPA и CCPA имеют важные сходства, такие как: (1) 30-дневный период лечения; (2) Бизнес должен удалить потребителя’S личные данные по их запросу; и (3) ответственность за бизнес за то, чтобы она была проактивна, рассказывая потребителю, какие конкретные виды личной информации собирают бизнес и как используются такие данные. Однако между ними существуют важные различия:

• WPA ограничивает “личные данные” Определение информации о “идентифицированное или идентифицируемое естественное лицо,” тогда как определение CCPA остается широким и применяется к информации, связанной с “конкретный потребитель или домохозяйство.”
• WPA явно предотвращает местные законы, постановления и правила в отношении обработки личных данных контроллерами или процессорами. CCPA не.
• WPA, в отличие от CCPA, не включает в себя требование о пороге дохода.
• WPA, в отличие от CCPA, охватывает “дискриминация” положение, которое мешает предприятиям принимать окончательные автоматические решения.
• WPA ограничивает, как технология распознавания лиц может использоваться, где CCPA не имеет аналогичного положения. (Новые обязательства по признанию лиц в отношении компаний, которые используют распознавание лиц, в случае принятия будут превышать текущие обязательства, с которыми сталкиваются компании под Вашингтоном’S Биометрический закон о конфиденциальности (RCW 19.375).)

Предложенный Нью -Йоркский акт

Из всех предлагаемых законодательства о конфиденциальности, Закона о конфиденциальности Нью -Йорка (S5642) (“Nypa”), вероятно, наиболее ожидается, потому что его язык намного смелее, чем CCPA. NYPA широко распространяется на “Юридические организации, которые ведут бизнес в Нью -Йорке или производят продукты или услуги, которые преднамеренно ориентированы на жителей Нью -Йорка.” При таком широком языке NYPA кажется адаптированным, чтобы охватить как можно больше бизнеса, пропуская пороговый язык доходов, как видно из CCPA.

Хотя NYPA может измениться до его принятия, его текущий язык отходит от CCPA двумя способами:

• Самым большим изменением является то, что предприятия должны будут действовать как “Данные фидуции.” В предлагаемом законе говорится, что “Любая организация, которая собирает, продает или лицензирует личную информацию о потребителях, должна осуществлять обязанности по уходу, лояльности и конфиденциальности, ожидаемой от фидуциарного в отношении обеспечения личных данных потребителя от риска конфиденциальности.” Это обязательство будет “заменить любую обязанность, причитающуюся владельцам или акционеру” сущности.
• NYPA не признает подразумеваемого согласия. В отличие от CCPA, который признает подразумеваемое согласие, NYPA потребует от предприятий продемонстрировать, что они получили четкое и упреждающее соглашение от потребителей, где это необходимо.

Главный вынос

GDPR’Влияние в Соединенных Штатах здесь, и, похоже, здесь остается больше всего штатов. С двумя основными законами о конфиденциальности на каждом побережье и разбросанными между ними, неясно, будет ли Конгресс в конечном итоге принять федеральный закон для создания некоторой единообразии. До тех пор, поскольку новое законодательство разрабатывается, компании и предприятия должны оставаться в курсе, чтобы защитить себя от потенциальных регулирующих действий и судебных процессов.

Имеет ли значение GDPR в США?

Частные лица и предприятия по обе стороны Атлантики могут почувствовать, что, поскольку общее регулирование защиты данных является законодательством ЕС, оно относится только к странам ЕС. Но эта интерпретация ошибочна.

Правда в том, что GDPR’S приложение больше о ВОЗ вы нацеливаетесь, а не где Ваш бизнес основан. Так что, если вы’Re в американском бизнесе с клиентами ЕС, вы’LL нужно принять внимание – и соблюдать – GDPR. Некоторые американские предприятия все еще должны быть убеждены в этом моменте.

Великобритания против США законы о конфиденциальности данных

GDPR применяется почти ко всем, кто обрабатывает личные данные в Европейском Союзе, или кто обрабатывает личные данные людей в Европейском союзе.

Напротив, в США нет единого закона о конфиденциальности данных с одинаково широким применением. Мы нашли различные федеральные законы и законы штата, которые объединяются, чтобы сформировать по частям режим защиты данных, при этом конкретные сектора (такие как здравоохранение) являются основным фокусом. Этот подход может затруднить соответствие, так как требуемые стандарты защиты данных варьируются от штата к штату.

Возможно, неудивительно, что мы обнаружили, что стандарт, требуемый GDPR, обычно достаточен для удовлетворения стандартов, требуемых соответствующими законами США.

Что’S разные?

GDPR предоставляет универсальное определение “Личные данные”; эквивалентный термин в США “Лично идентифицируемая информация”, и то, что составляет PII, варьируется в соответствии с законодательством штата. Например, финансовые данные и номера национального страхования в Великобритании не рассматриваются как “чувствительный” С точки зрения строгого юридического определения, но финансовые данные и номер социального страхования часто считаются конфиденциальными в законодательстве США.

GDPR основан на идее о том, что персональные данные должны быть защищены, и отдельные лица должны контролировать, как используются их данные. Эти права включают в себя право на стирание, переносимость данных, согласие о выводе, исправление неточных данных, доступа, ограничения и возражений.

Данные субъекты’ Права в США гораздо более ограничены. Хотя закон США дает понять, что определенная информация должна быть предоставлена ​​субъектам данных в тот момент, когда их личные данные собираются, обычно нет дальнейших прав доступа к данным или права на стирание. Права предметов с ограниченными данными, которые связаны с детьми, связаны с детьми’S, такие как дети’S Закон о защите конфиденциальности в Интернете, который позволяет родителям просматривать личную информацию, собранную веб -сайтом о своем ребенке, а также удалить и исправить эту информацию.

Новый Закон о конфиденциальности потребителей в Калифорнии вводит различные права для жителей Калифорнии – позволяя им понять, как используются их данные, стереть их и отказаться от бизнеса, способного продать свою информацию.

В соответствии с GDPR передача персональных данных за пределами EEA ограничены – главным образом для обеспечения того, чтобы права на данные были доступны для отдельных лиц’T подрывают, потому что используется международный поставщик. Обычно это означает, что международные переводы личных данных будут подлежат щиту конфиденциальности ЕС-США, модельным договорным пунктам или обязательным корпоративным правилам.

Напротив, существует мало ограничений на передачу личных данных за пределами США, наложенных законом США. В то время как законы и правила США продолжают применяться к данным после того, как они покинули США, они в основном сосредоточены на обеспечении ответственности организаций США за данные.

GDPR расширил максимальные штрафы за нарушение защиты данных до 20 миллионов евро или 4% от годового глобального оборота, в зависимости от того, что самое высокое. Напротив, FTC (Федеральная торговая комиссия) допускает штраф в размере до 16 000 долл. США за преступление.

Что’S не так другой?

Должен не’t мы просто получаем согласие на все?

Соглашение о сборе часто рассматривается как простой способ избежать подробного рассмотрения практики данных. Позволять’S просто получите субъект данных’s согласие все, верно? Неправильный.

Согласие – это один из шести способов легитимизации обработки личных данных, но он не единственный, и часто чрезмерно используется. И законы о защите данных GDPR, и США выравнивают здесь – вы надеваете’Т нужно согласие на все.

В ЕС контроллеры данных должны уведомить их национальный надзорный орган, если существует нарушение безопасности данных, и в некоторых ситуациях контроллеры данных также должны будут уведомлять субъект данных. Уведомления о нарушении данных также требуются в США, где 48 из 50 штатов в настоящее время приняли законы об уведомлении о нарушении безопасности.

Equivalent GDPR US: как США и ЕС сравнивают законы о конфиденциальности данных

Если вы’В последние несколько лет посетил веб -сайт или проверил электронное письмо, вы’RES, несомненно, знаком с GDPR. Компании, информирующие вас о обновлениях политики конфиденциальности и веб -сайтов, которые предлагают вам управлять предпочтениями ваших файлов cookie, – это лишь некоторые способы, которыми мы испытываем влияние закона о конфиденциальности данных.

Несмотря на то, что GDPR был разработан и принят Европейским Союзом, имеет глобальные последствия. Помимо влияния на то, как ваш бизнес управляет данными о потенциальных клиентах и ​​клиентах, комплексные политики продолжали влиять на законы о конфиденциальности данных по всему миру, в том числе в Соединенных Штатах. Несмотря на то, что на федеральном уровне нет gdpr в США, отдельные штаты, такие как Калифорния, внедрили аналогичные политики.

Оставаться на вершине местных, федеральных и международных нормативных требований имеет важное значение для вашего бизнеса, оставаясь в соответствии и избегая огромных штрафов.

Краткий обзор GDPR

Общее регулирование защиты данных (GDPR), принятое Европейским союзом (ЕС) в 2016 году, является комплексным регулированием, которое устанавливает стандарты для получения, управления и обработки личных данных граждан ЕС и их жителей. В рамках масштаба GDPR персональные данные – это любая информация, которая ссылается на идентифицируемое естественное лицо или “Данные субъект.”

Наиболее важным элементом GDPR является то, что регулирование диктует, ни одна организация не может собирать, хранить или использовать персональные данные без явного согласия субъекта данных.

Широкий спектр личной информации (PII)

В отличие от аналогичных законов о защите данных США, которые ограничивают регулируемые данные финансовой или медицинской информацией, GDPR защищает и регулирует различные сектора информации, которые могут быть связаны с субъектами данных, включая информацию о местоположении, IP -адреса и данные cookie. Все под эгидой личной информации, если ваш бизнес собирает или обрабатывает эту информацию, например, через формы захвата ведущих или рекламные пиксели, вы’RE ответственный за соблюдение GDPR.

Влияние несоблюдения

Поддержание соответствия GDPR не только у ваших клиентов’ наилучшие интересы, но в вашем бизнесе’S БЕСПЛЕКТОР. Ужасные истории о несоблюдении и нарушениях данных могут сопровождаться огромными штрафами. В зависимости от размера вашего бизнеса, штрафы могут варьироваться от 11 до 21 млн. Долл. США или 2 до 4% от вашего годового глобального оборота.

Что означает GDPR для бизнеса в США?

Мы знаем, что GDPR оказывает далеко идущие последствия, в том числе на предприятия в Соединенных Штатах. Хотя может быть легко игнорировать требования GDPR, если вы’T, многонациональная компания, вы были бы осторожны, чтобы не. Даже если ты не надо’T намерены собирать данные или продавать жителям ЕС, если ваши цифровые свойства, включая веб -сайты, привлечь посетителей из ЕС или Европейского экономического района (ЕЭЗ), то GDPR применяется.

Скажем, посетитель из государства -члена ЕС прибывает на ваш веб -сайт и подписывается на ваш блог или загружает исследовательскую работу. Ваши усилия по ретаргетингу через Google или LinkedIn Advertising могут отказаться от пикселя отслеживания в своем браузере. Этот пользователь сейчас является предметом данных, и вы’я начал обрабатывать свои данные.

Благодаря богатым сценариям, доступным для конфиденциального сбора данных, оставаясь на вершине лучших практик для соответствия GDPR, жизненно важно для американских предприятий. Но помимо нормативных требований, GDPR оказывает дополнительное влияние на законодательство о конфиденциальности по всему миру, в том числе в Соединенных Штатах.

РЕКОМЕНДУЕТСЯ ДЛЯ ВАС

Что лично идентифицируемые данные?

Понимание того, что определяет идентифицируемые данные, поможет вам оценить, применяется ли GDPR к вашему бизнесу.

Есть ли у США аналогичные законы о защите данных?

Хотя федеральный закон еще не учитывает безопасность данных и обработку данных в той степени, в которой GDPR, законы штата служат эквивалентами GDPR в Соединенных Штатах. По состоянию на 2022 год, пять штатов, включая Юту, Колорадо, Вирджинию, Коннектикут и Калифорния, все они имеют какой -то закон о конфиденциальности потребителей. Между тем, более 15 штатов рассматривают аналогичное законодательство.

Защита данных жителей Калифорнии

Калифорнийский Закон о конфиденциальности потребителей (CCPA), принятый в 2018 году, был первым в США в качестве ответа на GDPR и нарушения конфиденциальности данных в штате. Он может похвастаться аналогичными правилами защиты данных, хотя и по общему признанию в конечном.

• Личная информация против. личные данные: Хотя часто используется взаимозаменяемо, CCPA специально решает и защищает персональная информация это может быть разумно связано с потребитель В Калифорнии
• Потребители против. Данные субъекты: В то время как GDPR защищает любых предметов данных, живущих в ЕС (включая граждан США), объем CCPA ограничивается информацией жителей Калифорнии и, в частности, потребителями
• Коммерческий бизнес против. процессоры данных: CCPA регулирует конкретные, коммерческие компании, которые обрабатывают данные калифорнийских потребителей, в то время как GDPR предоставляет нормативные руководящие принципы для любой Организация внутри и за пределами государств -членов ЕС, которые обрабатывают данные, включая многонациональные компании
• Требуемый надзор: В то время как GDPR требует, чтобы наем сотрудника по защите данных (DPO) наблюдал за соответствием и выступал в качестве связующего звена для аудиторских целей, CCPA не имеет такого требования к надзору

В январе 2023 года вступил в силу Калифорнийский закон о правах на конфиденциальность (CRPA), поправка к CCPA. Это дано для новых требований, прав и принудительных механизмов для CCPA, включая четкое определение о том, кто влияет законодательство и защита “конфиденциальная личная информация.” Конкретно:

• Расширение порога предприятий из тех, кто покупает, продает или разделяет личную информацию 50 000 жителей до 100 000 или более
• Определяет новую категорию конфиденциальной личной информации как включающую правительственные идентификаторы, финансовую информацию, данные о геолокации, а также демографию, такую ​​как раса, религия и многое другое

На высоком уровне обе политики дают людям большую ясность и контролируют свои личные данные и обработку таких данных. В отношении GDPR, медицинских и финансовых данных подпадают под более широкий зонтик личной информации. В Соединенных Штатах аналогичные данные широко регулируются через несколько федеральных законов.

Защита данных о здоровье пациентов

Закон о мобильности и подотчетности медицинского страхования (HIPAA), принятый в 1996 году, регулирует защищенную медицинскую информацию (PHI). Организации, которые справляются с PHI, включая “покрытые сущности” Как и медицинские работники или деловые партнеры, такие как биллинг или компании EHR, несут ответственность за соблюдение правил HIPAA. Если ваш бизнес использует или обрабатывает записи пациентов, информацию о платежах, биометрические данные или информацию о плане медицинского обслуживания, вы’вероятно, подлежит соответствию HIPAA.

Регулирование платежей и транзакций по кредитным картам

Между тем, Закон о граммате-белилеи (GLBA), принятый в 1999 году, требует, чтобы финансовые учреждения предоставили людям больший доступ и прозрачность в использовании их личных данных. Поддержание соответствия GLBA включает в себя передачу того, как конфиденциальные данные, такие как клиент’Имя, адрес, номер телефона или номера счета и социального страхования обрабатываются и общие. Подобно CCPA и CPRA и GDPR, учреждения должны предложить возможность отказаться от их данных, которые передаются с третьими лицами.

Подобно CCPA и GDPR, несоблюдение HIPAA и GLBA может значительно повлиять на учреждение, причем штрафы охватывают более 100 000 долл. США на GLBA или 50 000 долл. США для HIPAA. Повторные правонарушения HIPAA могут масштабировать штрафы до 250 000 долл. США, что обеспечивает четкий стимул для поддержания соответствия.

Создание прав с государственными учреждениями США

Поскольку CCPA регулирует коммерческие организации, это’S в основном ограничивается данными, используемыми для коммерческих целей. Закон о конфиденциальности 1974 года регулирует, как государственный сектор управляет вашими данными.

Создано в ответ на начало баз данных и компьютеров, которые теперь могут хранить огромную информацию, Закон о конфиденциальности направляет федеральные агентства по защите данных, техническому обслуживанию и распространению. Закон предоставляет четыре права, которые граждане США имеют на их личные данные:

1. Агентства обязаны делиться записями, хранящимися на физическом листе по запросу
2. Агентства должны следовать “справедливая информационная практика,” которые определяют объем и качество агентств по данным, могут разумно собирать и управлять.
3. Агентства должны придерживаться ограничительных руководящих принципов для обмена личными данными между агентствами или с другими лицами.
4. Агентства могут быть предъявлены иск за нарушение любого из вышеперечисленных прав.

Это’важно отметить, что Закон о конфиденциальности не всеобъемлющий. Правительственные учреждения, ответственные за правоохранительные органы, такие как Федеральное бюро расследований (ФБР) и Центральное разведывательное управление (ЦРУ), освобождены от законодательства. Кроме того, акт предоставляет “обычное использование” и другие исключения, такие как использование в переписи США.

Что в будущем удерживает законы о защите данных в Соединенных Штатах?

Что касается эквивалента GDPR в Соединенных Штатах, защита данных является скорее суммой его частей, чем комплексный подход. Законодательство, такое как Закон о конфиденциальности потребителей в Калифорнии или Закон о защите данных о потребителях Вирджинии, удовлетворяет аналогичные потребности в законах о конфиденциальности в пределах границ отдельных штатов.

Наличие трансграничных передач данных и глобальной экономики приводит к тому, что больше американских компаний достигают необходимости достижения соответствия GDPR, но это’S не универсальное требование.

Соединенные штаты’ За последние несколько лет подход к защите данных и прозрачно. Тем не менее, 2022 год увидел значительные штрафы, взимаемые Федеральной торговой комиссией в результате нарушений конфиденциальности и возобновления усилий Конгресса для создания сплоченной национальной политики в отношении конфиденциальности данных.

Федеральная торговая комиссия вступает в нарушение соответствия

В частности, FTC приказал Epic Games заплатить более 500 миллионов долларов штрафов за нарушение детей’S Закон о защите конфиденциальности в Интернете (COPPA) посредством вводящего в заблуждение дизайна пользовательского интерфейса или “темные узоры” Это вызвало тысячи непреднамеренных покупок и решений о конфиденциальности, принятых детьми и подростками.

Кроме того, коалиция из более чем 40 генеральных прокуроров достигла знакового урегулирования с Google к северу от 350 миллионов долларов США по сравнению. Решения отмечают момент водораздела в регулировании информационной безопасности США и то, как компании могут быть привлечены к финансовой ответственности за нарушение конкретных законов о конфиденциальности.

Комплексный закон о конфиденциальности данных потенциально для дебатов

Влияние существующего законодательства усилило разговоры для комплексного эквивалента GDPR в Соединенных Штатах. В 2022 году Американский закон о конфиденциальности и защите данных (ADPPA) прошел через комитет Конгресса с двухпартийной поддержкой. Но это никогда не было привлечено к голосованию на полу Палаты представителей. Законопроект предотвратит Калифорнийский Закон о конфиденциальности потребителей и останется вариантом для дебатов и решения в 2023 году.

Как учесть разрозненные законы о конфиденциальности данных

Влияние несоблюдения не является’T ограничен штрафами и преступными наказаниями. Влияние у нарушения данных на клиента вырисовывается в значительной степени, и поддержание их доверия часто может зависеть от вашей компании’Способность защищать свою информацию.

С таким большим количеством юридических руководств, протоколов и правил, которые следует следовать, как ваш бизнес может опережать кривую безопасности данных?

Сделать правильные наймы для вашей команды

В некоторых случаях путь вперед довольно прост. В зависимости от вашего бизнеса, GDPR может потребовать найма сотрудника по защите данных или DPO. Обязанности DPO включают обучение сотрудников о соответствии и данных и проведение регулярных аудиторов безопасности. DPO также служит основной точкой контакта для доступа к данным компании для аудита или иным образом.

Сотрудники по защите данных и другие сотрудники по безопасности и соответствию требованиям необходимы для обеспечения того, чтобы ваш бизнес мог контролировать постоянно меняющийся ландшафт закона о информационной безопасности. С четкой видимостью в вашем бизнесе’ Практика данных и информационная безопасность, такие роли могут более плавно контролировать, консультировать и поддерживать вашу позицию в соответствии с требованиями.

Работа с партнером

При найме членов команды для контроля и определения влияния этих тенденций на бизнес может быть не в вашем стартапе’S Roadmap, вы должны постоянно оценивать, как подходить к безопасности для вашего конкретного этапа. Это означает, что помните о вашем фонде безопасности, инструментах и ​​методах данных, чтобы понять, как изменения в соответствии с нормативными требованиями могут повлиять на ваши бизнес -операции.

Не уверен, где начать? Начните с разговора с одним из наших экспертов.

Изучите больше контента

В вашем бизнесе обрабатывает лично идентифицируемые данные?

Узнайте больше о сфере GDPR, поскольку он связан с лично идентифицируемыми данными и что это может означать для вашего бизнеса.

Поделитесь этим постом с вашей сетью:

Будет U.С. Принять общенациональный закон о конфиденциальности данных, аналогичный GDPR?

Вы слышали вопрос, “Америка – плавильный горшок или салатная чаша?” Позволять’S применяет эту концепцию к законам о конфиденциальности данных. Сегодня, в U.С. Не существует последовательного, национального закона о конфиденциальности данных. Вместо этого предприятия пытаются понять ‘перемешанный салат’ различных правил и законов, применяемых отдельными государствами и отраслевыми регулирующими органами.

Необходимость в общенациональных законах о конфиденциальности данных

Поскольку технологии продолжают развиваться и влиять на многие аспекты нашей жизни, цифровая среда действительно требует общей основы для обеспечения и обеспечения конфиденциальности данных.

Устранить путаницу и неэффективность

Бизнес сегодня не работает в пределах границ. Продавцы, поставщики, клиенты и деловые партнеры все работают для растяжения операций на государственных и международных границах. Часто они также работают или полагаются на бизнес во многих отраслях промышленности. Необходимость ориентироваться в различных федеральных, государственных и отраслевых правилах создает путаницу и неэффективность для организаций, оценщиков и регулирующих органов.

Избегайте чрезмерного бремени соответствия

Аналогичным образом, с несколькими действующими стандартами, процесс отчетности и соответствия требует больше времени, усилий и денег от организаций.

Поскольку GDPR появился на первом месте (фактически с мая 2018 года), многие американские и многонациональные компании уже приложили усилия по достижению соответствия GDPR и продолжить бизнес со своими европейскими клиентами. Чтобы предотвратить дальнейшее бремя соответствия, U.С. Законодательство о конфиденциальности данных должно попытаться оставаться вблизи стандарта, уже установленного GDPR.

Держите правила устаревшими

U.С. Законы о конфиденциальности данных, которые в настоящее время находятся в книгах, были написаны в прошлом и были разработаны для регулирования другой среды. Теперь нам нужны правила, которые достаточно гибки для решения проблемы разработки технологий и при этом применимы в будущем.

Укреплять защиту конфиденциальности

Пробелы и перекрытия являются естественным результатом многочисленных правил. В некоторых случаях они даже в конфликте друг с другом. Тем не менее, в эпоху, когда личные данные становятся все более уязвимыми, защита конфиденциальности является более важной, чем когда -либо. Правила должны быть всеобъемлющими и ясными – охватывая все виды личной информации во всех формах – чтобы обеспечить самый сильный уровень защиты.

U.С. Законы о конфиденциальности данных

Нет федерального закона о конфиденциальности данных, такого как GDPR в Соединенных Штатах. Есть некоторые национальные законы, которые были приняты для регулирования использования данных в определенных отраслях промышленности.

• 1974 – U.С. Закон о конфиденциальностикоторый описывает права и ограничения в отношении данных, принадлежащих правительственным учреждениям США.
• 1996 – Медицинское страхование Портативность и Акт об ответственности (HIPAA), которая регулирует конфиденциальность и безопасность в сфере здравоохранения.
• 1999 – Gramm-Leach-Bliley Act (GLBA), который регулирует, как потребители’ Непубличная информация о конфиденциальности собирается и используется в финансовой индустрии.
• 2000 – Дети’S Закон о защите конфиденциальности в Интернете (COPPA) сделал первый шаг в регулировании личной информации, собранной у несовершеннолетних. Закон специально запрещает онлайн’S проверяемое согласие родителей.

Теперь мы находимся в 2020 году. И в настоящее время достигнут значительный прогресс в направлении единой структуры – в разных штатах и ​​отраслях – передовой практики конфиденциальности данных за 20 лет. FTC был единственной руководящей силой в наказании технологий и конгломератов социальных сетей, которые в заблуждение пользователей в заблуждение о том, как их данные собираются и продаются третьим лицам.

Но штрафы не являются эффективной формой регулирования, и они не надевают’T помогите компаниям понять и реализовать передовые практики. Что’Необходим – это структура, которая направляет организации в разработке эффективных политик и практики конфиденциальности данных – с нуля. Не просто наказание нарушений – сверху вниз. Поскольку правда в том, что мы можем здесь о случаях, связанных с Facebook и Zoom, но сколько других случаев неэффективной безопасности остаются незамеченными?

Разница между u.С. и законы о конфиденциальности данных ЕС

Мы можем’t не проведу справедливое сравнение, потому что есть’t (пока) a u.С. эквивалент GDPR. По сути, ЕС уважает конфиденциальность как фундаментальное право граждан. GDPR – это всеобъемлющая структура защиты личных данных, предназначенная для защиты этих прав. Он управляет компаниями, работающими в государствах -членах ЕС, а также международными организациями, взаимодействующими с жителями ЕС.

Некоторые предлагаемые правила включают Закон о распространении американских данных, Закон о защите данных потребителей и Закон о уходе за данными данных. На этом этапе, однако, в Конгрессе не получилось достаточной поддержки, чтобы стать новым законом.

Самым близким национальным законодательством в энергии, возможно, будет HIPAA, который был спроектирован для защиты конфиденциальности пациентов и здравоохранения. Тем не менее, нам не хватает нормативных актов, которые охватывают конфиденциальность потребителей и безопасность данных во всех отраслях.

Неоплачиваемые состояния конфиденциальности данных

В последние годы мы’Видевшие государства вводят свои собственные правила конфиденциальности данных потребителей. Калифорнийский Закон о конфиденциальности потребителей (CCPA) и Закон о защите данных Массачусетса являются двумя сильными примерами. Другие штаты уже приняли свои собственные законы о защите данных, которые применяются ко всем предприятиям. Эти состояния включают в себя:

• Арканзас
• Колорадо
• Коннектикут
• Флорида
• Индиана
• Канзас
• Мэриленд
• Миннесота
• Невада
• Нью-Мексико
• Орегон
• Род-Айленд
• Техас
• Юта

Каждый из этих штатов разработал и принял свои собственные законы о защите данных, которые требуют от компаний, которые содержат личную информацию о потребителях жителей штата для защиты этой информации. Таким образом ‘салатник’ загадка. Без смешения управляющих сил каждому государству остается действовать в одиночку, и соответствие становится запутанным и непоследовательным.

Почему многонациональные корпорации должны заботиться о соблюдении GDPR?

Аффилированные лица не в ЕС, связанные с многонациональным бизнесом, необходимы заботиться о GDPR, потому что они, скорее всего, имеют клиентов, проживающих в стране ЕС. Если данные потребителей ЕС, которые межнациональные корпорации собирают во время транзакций, доступны из одной центральной системы до филиалов по всему миру, необходимо, чтобы эти компании понимали, как течет данные, чтобы обеспечить трансграничные данные, соответствующие требованиям GDPR.

Еще одна очень важная причина сделать соблюдение GDPR приоритетом заключается в том, что несоблюдение оставляет многонациональные корпорации, подверженные существенным административным штрафам, которые назначали органы по защите данных (DPA), дают полномочия навязывать, если они находят причину. Штрафы за несоблюдение GDPR составляют четыре процента от компании’S Всемирный валовой годовой доход или 20 миллионов евро. Такие штрафы применимы, даже если ответственная организация является лишь дочерней компанией с несколькими сотрудниками, что делает важным образом, чтобы многонациональные корпорации гарантировали, что какие -либо дочерние компании также находятся на борту, а также.

Кроме того, DPA удерживают мощность для сгибания или запрета передачи данных от ЕС в U.С. родительская корпорация, если они обнаруживают проблему несоблюдения.

Вы не смущаете соблюдение конфиденциальности данных?

Поговорите с i.С. Partners, LLC. Мы можем помочь вашей организации определить, какие правила применяются к вашей деятельности, и создать стратегию для достижения полного соответствия.