Законы США о цифровой конфиденциальности

Когда Соединенные Штаты чихают, мир простужается. Это утверждение особенно верно в мире цифровых технологий. В конце концов, Америка является домом для многих ведущих и самых успешных онлайн-компаний мира (хотя некоторые могут возразить, что Китай наступает ей на пятки). Тем не менее, одна из областей, в которой наши европейские кузены лидируют, — это цифровая конфиденциальность.

GDPR изменил отношение мира к конфиденциальности

Если вы вернетесь в 2018 год, вы вспомните, как Европейский Союз потряс весь мир Общим регламентом по защите данных (GDPR) .

В то время GDPR был уникальным, потому что это был всеобъемлющий регламент, предназначенный для защиты конфиденциальности граждан Европы независимо от того, кому и где они делились своими данными. Это положение означало, что если американские организации хотели продолжать работать в Европе или с европейскими гражданами, независимо от их местонахождения, они должны были соблюдать GDPR.

В отличие от предыдущих правил конфиденциальности, у GDPR были зубы и вес Европейской комиссии, стоящей за ним, чтобы взимать огромные штрафы за нарушения.

Миллионы долларов и бесчисленное количество человеко-часов были потрачены по всему миру на обеспечение соответствия требованиям. Во многих отношениях эти инвестиции помогли избавиться от последних остатков деловой практики «Дикого Запада», принятой в развивающемся, но все еще в значительной степени нерегулируемом секторе цифрового бизнеса. Тем не менее, несмотря на это, бесчисленное количество американских фирм нарушили GDPR.

Все еще не думаете, что GDPR распространяется на вас? Посмотрите этот список самых больших штрафов, взимаемых за несоблюдение требований — он читается как «Кто есть кто?» крупных американских компаний, причем Amazon, Meta (Facebook) и Alphabet (Google) доминируют в десятке самых значительных штрафов.

Меняющееся лицо законов США о конфиденциальности

Можно утверждать, что до GDPR США, по сути, пинали банку (CAN-SPAM) в плане конфиденциальности.

Во многих отношениях GDPR вынуждает американские компании приводить в порядок свои действия без необходимости применения нормативных актов США. Но это не означает, что США не относятся серьезно к конфиденциальности. В настоящее время существует несколько законов о конфиденциальности, и многие другие вводятся в действие в США. Однако из-за того, как отдельные штаты создают законодательство, эти законы менее взаимосвязаны или всеобъемлющи, чем GDPR. Для предприятий, работающих за пределами штата, это может сбить с толку.

CCPA/CPRA

Калифорнийский закон о конфиденциальности потребителей (CCPA) и последующий Калифорнийский закон о правах на конфиденциальность (CPRA) , который вступает в силу 1 июля 2023 года, были названы наиболее близкими к GDPR.

CPRA строится на фундаменте, установленном GDPR, который заложил основу для нескольких правил, не включенных в CCPA. Эти правила включают в себя:

• Минимизация данных: обеспечение сбора данных необходимо для достижения конкретной цели.
• Ограничение цели: обеспечение того, чтобы собранные данные не использовались для новых и несовместимых целей.
• Ограничение хранения: обеспечение того, чтобы данные не могли храниться дольше, чем это необходимо.

GDPR также повлиял на то, как CPRA обрабатывает конфиденциальную личную информацию (SPI), такую ​​как расовая или этническая принадлежность, политические взгляды, религиозные или философские убеждения, сексуальная ориентация, генетика и данные, связанные со здоровьем.

Несмотря на сходство, между GDPR и CPRA есть некоторые ключевые различия.

GDPR применяется к любой организации, которая собирает и обрабатывает данные от граждан ЕС, независимо от размера компании, местоположения или цели. GDPR также не делает различий между личными и бизнес-данными.

Между тем, Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) применяется только к компаниям, которые собирают и обрабатывают личную информацию жителей Калифорнии и соответствуют одному или нескольким из следующих критериев:

• Иметь годовой валовой доход более 25 миллионов долларов США;
• покупать, продавать или делиться личной информацией 100 000 или более потребителей или домохозяйств ежегодно; или
• Получайте 50% или более своего годового дохода от продажи личной информации потребителей.

По сравнению с GDPR, у предприятий есть много возможностей для того, чтобы оставаться вне поля зрения CCPA/CCPR. Возможно, это отражает более спокойное отношение к организациям в США, получающим доступ к личной информации и хранящим ее, по сравнению с Европой. Однако после нескольких громких утечек данных , доставивших неудобства тысячам граждан США, такое отношение становится менее расплывчатым, и все больше штатов США присоединяются к политике конфиденциальности.

Закон Вирджинии о защите данных потребителей (VCPDA)

Закон Вирджинии о защите данных потребителей (VCDPA) — это закон о конфиденциальности, аналогичный CCPA/CPRA и GDPR, который вступил в силу 1 января 2023 года.

VCDPA применяется к предприятиям, которые ведут бизнес в Вирджинии или нацелены на жителей Вирджинии и соответствуют определенным пороговым требованиям. Эти требования включают обработку персональных данных не менее 100 000 потребителей из Вирджинии в год или получение более 50% валового дохода от продажи персональных данных и обработку персональных данных не менее 25 000 потребителей из Вирджинии в год.

В соответствии с VCDPA потребители из Вирджинии имеют право знать, какие личные данные о них собираются, право на доступ к своим данным, право на исправление неточностей в этих данных, право на удаление своих данных при определенных обстоятельствах и право на отказаться от продажи своих данных.

Закон штата Колорадо о конфиденциальности (CPA)

CPA должен вступить в силу 1 июля 2023 года.

Подобно CCPA/CPRA и GDPR, CPA применяется к предприятиям, которые ведут бизнес в Колорадо или нацелены на жителей Колорадо и соответствуют определенным пороговым требованиям. Эти требования включают обработку персональных данных не менее 100 000 потребителей из Колорадо в год или получение более 50% валового дохода от продажи персональных данных и обработку персональных данных не менее 25 000 потребителей из Колорадо в год.

Еще раз, в соответствии с CPA, потребители из Колорадо имеют право знать, какие личные данные о них собираются, право на доступ к своим личным данным, право на исправление неточностей в своих личных данных, право на удаление своих личных данных при определенных обстоятельствах. , а также право отказаться от продажи своих личных данных.

Растущее движение за большую конфиденциальность в США

В то время как CCPA/CCPR, VCDPA и CPA являются местными нормативными актами, существует растущее движение, ведущее к тому, что все большее число штатов вводит нормативные акты о конфиденциальности, которые каким-то образом соединят все точки и создадут «национальное» обязательство по защите конфиденциальности.

В Коннектикуте, Айове и Юте действуют правила, которые должны быть введены в действие в ближайшие два года. По данным трекера Международной ассоциации профессионалов в области конфиденциальности (IAPP) , многие другие штаты находятся в процессе введения правил.

Тем не менее, есть некоторые устаревшие законы США о конфиденциальности, которые пересекают границы штатов и защищают людей на федеральном уровне.

HIPAA – Федеральный закон

Закон о переносимости и подотчетности медицинского страхования (HIPAA) — это федеральный закон, принятый в 1996 году, до GDPR и даже широкого использования Интернета.

HIPAA был разработан для обеспечения стандартов конфиденциальности и безопасности для защиты личной медицинской информации пациента. Закон устанавливает национальные стандарты конфиденциальности и безопасности защищенной медицинской информации (PHI) и применяется к планам медицинского страхования, поставщикам медицинских услуг и информационным центрам здравоохранения, которые проводят определенные электронные транзакции.

В соответствии с HIPAA субъекты, на которые распространяется действие закона, должны применять меры безопасности для защиты конфиденциальности, целостности и доступности PHI. Эти меры безопасности включают административные, физические и технические меры для обеспечения конфиденциальности и безопасности PHI.

HIPAA также предоставляет лицам определенные права в отношении их PHI, включая право на доступ к их PHI, право запрашивать исправления в своей PHI и право подавать жалобы, если они считают, что их права на неприкосновенность частной жизни были нарушены.

Как реагируют предприятия?

В целом, предприятия положительно реагируют на растущую волну правил конфиденциальности. Зная, что эта тенденция никуда не денется, многие компании адаптируют свои услуги, чтобы встроить конфиденциальность в свои бизнес-модели. Мы уже видели обновления защиты конфиденциальности почты Apple , и Google заново изобретает то, как он отслеживает участие пользователей в GA4, последней версии Google Analytics.

Тем не менее, это может быть запутанным временем для малого и среднего бизнеса, у которого нет ресурсов для отслеживания и выполнения требований правил конфиденциальности. Это особенно верно, когда данные собираются и обрабатываются на нескольких технологических платформах. Для этих предприятий имеет смысл защитить конфиденциальность своих клиентов и будущее своей организации, поговорив с экспертом, который поможет им соблюдать требования.

Узнать больше

Чтобы узнать больше о том, как эксперты по маркетингу в emfluence могут помочь вашему бизнесу соблюдать действующие и будущие правила конфиденциальности, свяжитесь с нами сегодня по адресу [email protected] .