Το GDPR έχει σημασία στις ΗΠΑ

Η διατήρηση της συμμόρφωσης με το GDPR δεν είναι μόνο προς το καλύτερο συμφέρον των πελατών σας αλλά για το καλύτερο συμφέρον της επιχείρησής σας. Οι ιστορίες τρόμου μη συμμόρφωσης και παραβιάσεων δεδομένων μπορούν να συνοδεύονται από έντονα πρόστιμα. Ανάλογα με το μέγεθος της επιχείρησής σας, τα πρόστιμα μπορούν να κυμαίνονται μεταξύ 11 και 21 εκατομμυρίων $ ή 2 – 4% του ετήσιου παγκόσμιου κύκλου εργασιών σας.

GDPR στις ΗΠΑ? Η νέα κρατική νομοθεσία καθιστά αυτό πιο κοντά στην πραγματικότητα

Ο γενικός κανονισμός για την προστασία των δεδομένων της Ευρωπαϊκής Ένωσης (“GDPR”) είναι γνωστός ως ο πιο σκληρός νόμος περί ιδιωτικής ζωής και ασφάλειας στον κόσμο, καθώς έχει ευρεία εμβέλεια και επιβάλλει βαριά πρόστιμα ενάντια σε όσους παραβιάζουν τα πρότυπα απορρήτου και ασφάλειας (τα οποία είναι αρκετά ευρεία). Ο αντίκτυπος του GDPR έχει ήδη αισθανθεί στις Ηνωμένες Πολιτείες από τότε που τέθηκε σε ισχύ το 2018, και τώρα u.μικρό. Οι νομοθέτες σε πολλά κράτη μετακινούνται για να θεσπίσουν παρόμοιες νομοθεσίες. Ο νόμος περί προστασίας των καταναλωτών της Καλιφόρνια (“CCPA”) ήταν η πρώτη περίπτωση του αντίκτυπου του GDPR στις Ηνωμένες Πολιτείες, καθώς η Καλιφόρνια έθεσε σε εφαρμογή ένα καταστατικό και κανονισμούς που αντικατοπτρίζουν το GDPR από πολλές απόψεις. Τώρα η Βιρτζίνια έχει θέσει σε κίνηση αυτό που θα μπορούσε να είναι μια χρονική σειρά κρατών που θεσπίζουν παρόμοια νομοθεσία. Συγκεκριμένα, η Ουάσινγκτον και η Νέα Υόρκη πρότειναν νομοθεσία μετά το πλαίσιο της CCPA. Αυτό το άρθρο θα συγκρίνει το CCPA με τους πρόσφατα θεσπισμένους και προτεινόμενους νόμους περί προστασίας της ιδιωτικής ζωής στις Ηνωμένες Πολιτείες.

Νεοαποκόλλητες και προτεινόμενες πράξεις απορρήτου:

Νέος νόμος για τη Βιρτζίνια

Στις 2 Μαρτίου 2021, η Βιρτζίνια ψήφισε τον νόμο περί προστασίας των δεδομένων των καταναλωτών (“CDPA”), ο δεύτερος ολοκληρωμένος νόμος περί ιδιωτικού απορρήτου των καταναλωτών στις Ηνωμένες Πολιτείες. Το CDPA θα τεθεί σε ισχύ την 1η Ιανουαρίου 2023. Το CDPA ισχύει για άτομα ή οντότητες που ασκούν επιχειρήσεις στη Βιρτζίνια ή παράγουν προϊόντα ή υπηρεσίες που προσφέρονται στους κατοίκους της Βιρτζίνια και ότι “ελέγχουν ή επεξεργάζονται” προσωπικά δεδομένα. Ο νόμος εφαρμόζεται στις επιχειρήσεις ότι (1) ελέγχει ή επεξεργάζεται προσωπικά στοιχεία τουλάχιστον 100.000 καταναλωτών ή (2) τον έλεγχο ή την επεξεργασία των δεδομένων τουλάχιστον 25.000 κατοίκων της Βιρτζίνια που επίσης αντλούν το 50% ή περισσότερο από τα ακαθάριστα έσοδά τους από την πώληση προσωπικών δεδομένων.

Το CDPA ακολουθεί στενά το πλαίσιο του CCPA. Ωστόσο, υπάρχουν μερικές βασικές διαφορές:

• Το CDPA δεν περιέχει ιδιωτικό δικαίωμα δράσης. Αντίθετα, όλες οι ενέργειες πρέπει να ασκούνται από τον Γενικό Εισαγγελέα της Βιρτζίνια.
• Το CDPA, όπως το CCPA, απαλλάσσει δεδομένα που ρυθμίζονται ήδη από ορισμένους ομοσπονδιακούς νόμους, όπως HIPAA, GLBA, FCRA, FERPA και COPPA. Ωστόσο, στο πλαίσιο του CDPA, η απαλλαγή GLBA είναι ευρύτερη καθώς απαλλάσσει εξ ολοκλήρου τα χρηματοπιστωτικά ιδρύματα, όχι μόνο τα θέματα δεδομένων. Επιπλέον, υπάρχουν εξαιρέσεις που βασίζονται σε δεδομένα για τον νόμο περί δίκαιης πιστωτικής αναφοράς, τον νόμο περί προστασίας της ιδιωτικής ζωής του οδηγού και τον νόμο περί δικαιωμάτων και ιδιωτικής ζωής της ομοσπονδιακής εκπαίδευσης και μη κερδοσκοπικούς οργανισμούς.
• Το CDPA περιέχει μια απαίτηση opt-in για την επεξεργασία ευαίσθητων προσωπικών δεδομένων, εκτός εάν απαλλάσσεται.
• Το CDPA ορίζει τον “καταναλωτή” πιο στενά από το CCPA. Το CDPA αποκλείει εκείνους που ενεργούν σε ένα εμπορικό ή εργασιακό πλαίσιο.
• Σύμφωνα με το CDPA, η “Πώληση Προσωπικών Πληροφοριών” απαιτεί η νομισματική εκτίμηση να πληροί τις προϋποθέσεις ως πώληση δεδομένων. Αντίθετα, το CCPA επιτρέπει τη νομισματική ή “άλλη πολύτιμη εκτίμηση.«

Προτεινόμενη πράξη της Ουάσινγκτον

Ο νόμος περί ιδιωτικού απορρήτου της Ουάσινγκτον, νομοσχέδιο της Γερουσίας 6281 (“WPA”), προτείνεται νομοθεσία που αντικατοπτρίζει το CCPA. Όπως και το GDPR και το CCPA, το WPA αυξάνει τα δικαιώματα των καταναλωτών όσον αφορά τα προσωπικά τους δεδομένα και εξασφαλίζει ότι οι επιχειρήσεις είναι διαφανείς όσον αφορά τη συλλογή και την επεξεργασία των καταναλωτών δεδομένων. Επιπλέον, το WPA επιτρέπει στους καταναλωτές να αποχωρήσουν από την πώληση των προσωπικών τους δεδομένων. Το WPA θα ισχύει για επιχειρήσεις των οποίων τα προϊόντα ή η υπηρεσία στοχεύουν στους καταναλωτές της Ουάσινγκτον εάν η επιχείρηση: (1) ελέγχει τα δεδομένα ή επεξεργασίες με περισσότερους από 100.000 καταναλωτές ή (2) προέρχεται τουλάχιστον 50% στα έσοδα από την πώληση προσωπικών δεδομένων και διαδικασίες ή ελέγχει προσωπικά δεδομένα περισσότερων από 25.000 καταναλωτών.

Τα WPA και CCPA έχουν σημαντικές ομοιότητες όπως: (1) περίοδος θεραπείας 30 ημερών, (2) Οι επιχειρήσεις πρέπει να διαγράψουν τα προσωπικά δεδομένα των καταναλωτών κατόπιν αιτήματός τους. και (3) ευθύνη για την επιχείρηση να είναι ενεργό για να πει στον καταναλωτή ποιοι συγκεκριμένοι τύποι προσωπικών πληροφοριών που συλλέγει η επιχείρηση και πώς χρησιμοποιούνται αυτά τα δεδομένα. Ωστόσο, υπάρχουν σημαντικές διαφορές μεταξύ τους:

• Το WPA περιορίζει τον ορισμό “προσωπικών δεδομένων” σε πληροφορίες σχετικά με ένα “αναγνωρίσιμο ή αναγνωρίσιμο φυσικό πρόσωπο”, ενώ ο ορισμός του CCPA παραμένει ευρύ και ισχύει για πληροφορίες που συνδέονται με έναν “συγκεκριμένο καταναλωτή ή νοικοκυριό.«
• Το WPA προμηθεύει ρητά τους τοπικούς νόμους, διατάξεις και κανονισμούς όσον αφορά την επεξεργασία προσωπικών δεδομένων από ελεγκτές ή επεξεργαστές. Το CCPA δεν το κάνει.
• Το WPA, σε αντίθεση με το CCPA, δεν περιλαμβάνει απαίτηση κατωφλίου εσόδων.
• Το WPA, σε αντίθεση με το CCPA, περιλαμβάνει μια διάταξη “διάκρισης” που εμποδίζει τις επιχειρήσεις να λαμβάνουν τελικές αυτοματοποιημένες αποφάσεις.
• Το WPA περιορίζει τον τρόπο με τον οποίο η τεχνολογία αναγνώρισης προσώπου μπορεί να χρησιμοποιηθεί όπου το CCPA δεν έχει παρόμοια διάταξη. (Οι νέες υποχρεώσεις αναγνώρισης του προσώπου σε εταιρείες που χρησιμοποιούν την αναγνώριση του προσώπου, εάν θεσπιστούν, θα υπερβαίνουν τις τρέχουσες υποχρεώσεις που αντιμετωπίζουν οι εταιρείες βάσει του νόμου περί απορρήτου της Ουάσινγκτον (RCW 19.375).·

Προτεινόμενη πράξη της Νέας Υόρκης

Από όλη την προτεινόμενη νομοθεσία απορρήτου, ο νόμος για την προστασία της ιδιωτικής ζωής της Νέας Υόρκης (S5642) (“NYPA”) είναι πιθανόν η πιο αναμενόμενη επειδή η γλώσσα του είναι πολύ BO

Το GDPR έχει σημασία στις ΗΠΑ

Η διατήρηση της συμμόρφωσης με το GDPR δεν είναι μόνο στους πελάτες σας’ τα καλύτερα ενδιαφέροντα αλλά στην επιχείρησή σας’το καλύτερο συμφέρον. Οι ιστορίες τρόμου μη συμμόρφωσης και παραβιάσεων δεδομένων μπορούν να συνοδεύονται από έντονα πρόστιμα. Ανάλογα με το μέγεθος της επιχείρησής σας, τα πρόστιμα μπορούν να κυμαίνονται μεταξύ 11 και 21 εκατομμυρίων $ ή 2 – 4% του ετήσιου παγκόσμιου κύκλου εργασιών σας.

GDPR στις ΗΠΑ? Η νέα κρατική νομοθεσία καθιστά αυτό πιο κοντά στην πραγματικότητα

Η Ευρωπαϊκή Ένωση’S Γενικός Κανονισμός Προστασίας Δεδομένων (“GDPR”) είναι γνωστό ως ο πιο σκληρός νόμος περί ιδιωτικής ζωής και ασφάλειας στον κόσμο, καθώς έχει μεγάλη εμβέλεια και επιβάλλει βαριά πρόστιμα εναντίον εκείνων που παραβιάζουν τα πρότυπα απορρήτου και ασφάλειας (τα οποία είναι αρκετά ευρεία). Ο αντίκτυπος του GDPR έχει ήδη αισθανθεί στις Ηνωμένες Πολιτείες από τότε που τέθηκε σε ισχύ το 2018, και τώρα u.μικρό. Οι νομοθέτες σε πολλά κράτη μετακινούνται για να θεσπίσουν παρόμοιες νομοθεσίες. Ο νόμος περί προστασίας των καταναλωτών της Καλιφόρνια (“CCPA”) ήταν η πρώτη εμφάνιση του GDPR’S αντίκτυπος στις Ηνωμένες Πολιτείες, καθώς η Καλιφόρνια έθεσε σε εφαρμογή ένα καταστατικό και κανονισμούς που αντικατοπτρίζουν το GDPR από πολλές απόψεις. Τώρα η Βιρτζίνια έχει θέσει σε κίνηση αυτό που θα μπορούσε να είναι μια χρονική σειρά κρατών που θεσπίζουν παρόμοια νομοθεσία. Συγκεκριμένα, η Ουάσινγκτον και η Νέα Υόρκη πρότειναν νομοθεσία μετά το πλαίσιο της CCPA. Αυτό το άρθρο θα συγκρίνει το CCPA με τους πρόσφατα θεσπισμένους και προτεινόμενους νόμους περί προστασίας της ιδιωτικής ζωής στις Ηνωμένες Πολιτείες.

Νεοαποκόλλητες και προτεινόμενες πράξεις απορρήτου:

Νέος νόμος για τη Βιρτζίνια

Στις 2 Μαρτίου 2021, η Βιρτζίνια πέρασε τον νόμο περί προστασίας των δεδομένων των καταναλωτών (“CDPA”), ο δεύτερος ολοκληρωμένος νόμος περί ιδιωτικού απορρήτου των καταναλωτών στις Ηνωμένες Πολιτείες. Το CDPA θα τεθεί σε ισχύ την 1η Ιανουαρίου 2023. Το CDPA ισχύει για άτομα ή οντότητες που ασκούν επιχειρηματικές δραστηριότητες στη Βιρτζίνια ή παράγουν προϊόντα ή υπηρεσίες που προσφέρονται στους κατοίκους της Βιρτζίνια και ότι “έλεγχος ή διαδικασία” προσωπικά δεδομένα. Ο νόμος εφαρμόζεται στις επιχειρήσεις ότι (1) ελέγχει ή επεξεργάζεται προσωπικά στοιχεία τουλάχιστον 100.000 καταναλωτών ή (2) τον έλεγχο ή την επεξεργασία των δεδομένων τουλάχιστον 25.000 κατοίκων της Βιρτζίνια που επίσης αντλούν το 50% ή περισσότερο από τα ακαθάριστα έσοδά τους από την πώληση προσωπικών δεδομένων.

Το CDPA ακολουθεί στενά το πλαίσιο του CCPA. Ωστόσο, υπάρχουν μερικές βασικές διαφορές:

• Το CDPA δεν περιέχει ιδιωτικό δικαίωμα δράσης. Αντίθετα, όλες οι ενέργειες πρέπει να ασκούνται από τον Γενικό Εισαγγελέα της Βιρτζίνια.
• Το CDPA, όπως το CCPA, απαλλάσσει δεδομένα που ρυθμίζονται ήδη από ορισμένους ομοσπονδιακούς νόμους, όπως HIPAA, GLBA, FCRA, FERPA και COPPA. Ωστόσο, στο πλαίσιο του CDPA, η απαλλαγή GLBA είναι ευρύτερη καθώς απαλλάσσει εξ ολοκλήρου τα χρηματοπιστωτικά ιδρύματα, όχι μόνο τα θέματα δεδομένων. Επιπλέον, υπάρχουν εξαιρέσεις που βασίζονται σε δεδομένα για τον νόμο περί δίκαιης πιστωτικής αναφοράς, ο οδηγός’S Act Act Privacy Privacy και ο Ομοσπονδιακός Νόμος για τα Δικαιώματα Εκπαίδευσης και την Προστασία Προσωπικών Δεδομένων και τους μη κερδοσκοπικούς οργανισμούς.
• Το CDPA περιέχει μια απαίτηση opt-in για την επεξεργασία ευαίσθητων προσωπικών δεδομένων, εκτός εάν απαλλάσσεται.
• Ο ορίζει το CDPA “καταναλωτής” πιο στενά από το CCPA. Το CDPA αποκλείει εκείνους που ενεργούν σε ένα εμπορικό ή εργασιακό πλαίσιο.
• Κάτω από το CDPA, το “Πώληση προσωπικών πληροφοριών” απαιτεί να είναι νομισματική να είναι νομισματική για να προκριθεί ως πώληση δεδομένων. Αντίθετα, το CCPA επιτρέπει τη νομισματική ή “Άλλες πολύτιμες εξετάσεις.”

Προτεινόμενη πράξη της Ουάσινγκτον

Ο νόμος περί απορρήτου της Ουάσινγκτον, νομοσχέδιο της Γερουσίας 6281 (“WPA”), προτείνεται νομοθεσία που αντικατοπτρίζει το CCPA. Όπως το GDPR και το CCPA, το WPA αυξάνει τους καταναλωτές’ Τα δικαιώματα όσον αφορά τα προσωπικά τους δεδομένα και διασφαλίζουν ότι οι επιχειρήσεις είναι διαφανή σχετικά με τη συλλογή και την επεξεργασία των δεδομένων των καταναλωτών. Επιπλέον, το WPA επιτρέπει στους καταναλωτές να αποχωρήσουν από την πώληση των προσωπικών τους δεδομένων. Το WPA θα ισχύει για επιχειρήσεις των οποίων τα προϊόντα ή η υπηρεσία στοχεύουν στους καταναλωτές της Ουάσινγκτον εάν η επιχείρηση: (1) ελέγχει τα δεδομένα ή επεξεργασίες με περισσότερους από 100.000 καταναλωτές ή (2) προέρχεται τουλάχιστον 50% στα έσοδα από την πώληση προσωπικών δεδομένων και διαδικασίες ή ελέγχει προσωπικά δεδομένα περισσότερων από 25.000 καταναλωτών.

Τα WPA και CCPA έχουν σημαντικές ομοιότητες όπως: (1) περίοδος θεραπείας 30 ημερών, (2) Οι επιχειρήσεις πρέπει να διαγράψουν έναν καταναλωτή’τα προσωπικά δεδομένα κατόπιν αιτήματός τους. και (3) ευθύνη για την επιχείρηση να είναι ενεργό για να πει στον καταναλωτή ποιοι συγκεκριμένοι τύποι προσωπικών πληροφοριών που συλλέγει η επιχείρηση και πώς χρησιμοποιούνται αυτά τα δεδομένα. Ωστόσο, υπάρχουν σημαντικές διαφορές μεταξύ τους:

• Το WPA περιορίζει το “προσωπικά δεδομένα” Ορισμός σε πληροφορίες σχετικά με ένα “αναγνωρισμένο ή αναγνωρίσιμο φυσικό άτομο,” ενώ ο ορισμός CCPA παραμένει ευρύ και ισχύει για πληροφορίες που συνδέονται με ένα “συγκεκριμένο καταναλωτή ή νοικοκυριό.”
• Το WPA προμηθεύει ρητά τους τοπικούς νόμους, διατάξεις και κανονισμούς όσον αφορά την επεξεργασία προσωπικών δεδομένων από ελεγκτές ή επεξεργαστές. Το CCPA δεν το κάνει.
• Το WPA, σε αντίθεση με το CCPA, δεν περιλαμβάνει απαίτηση κατωφλίου εσόδων.
• Το WPA, σε αντίθεση με το CCPA, περιλαμβάνει ένα “διάκριση” η παροχή που εμποδίζει τις επιχειρήσεις να λαμβάνουν τελικές αυτοματοποιημένες αποφάσεις.
• Το WPA περιορίζει τον τρόπο με τον οποίο η τεχνολογία αναγνώρισης προσώπου μπορεί να χρησιμοποιηθεί όπου το CCPA δεν έχει παρόμοια διάταξη. (Οι νέες υποχρεώσεις αναγνώρισης προσώπου σε εταιρείες που χρησιμοποιούν την αναγνώριση του προσώπου, εάν θεσπιστούν, θα υπερβαίνουν τις τρέχουσες υποχρεώσεις που αντιμετωπίζουν οι εταιρείες στην Ουάσινγκτον’S Βιομετρικού Νόμου περί Προστασίας Προσωπικών Δεδομένων (RCW 19.375).·

Προτεινόμενη πράξη της Νέας Υόρκης

Από όλη την προτεινόμενη νομοθεσία απορρήτου, ο νόμος περί ιδιωτικού απορρήτου της Νέας Υόρκης (S5642) (“Νυψέρος”) είναι πιθανό το πιο αναμενόμενο επειδή η γλώσσα του είναι πολύ πιο τολμηρή από την CCPA. Το NYPA εφαρμόζεται ευρέως “νομικά οντότητες που ασκούν επιχειρήσεις στη Νέα Υόρκη ή παράγουν προϊόντα ή υπηρεσίες που σκόπιμα στοχεύουν στους κατοίκους της Νέας Υόρκης.” Με μια τέτοια ευρεία γλώσσα, το NYPA φαίνεται προσαρμοσμένο να φτάσει σε όσο το δυνατόν περισσότερες επιχειρήσεις, ενώ παράλληλα παραλείπει τη γλώσσα κατωφλίου εσόδων όπως φαίνεται στο CCPA.

Αν και το NYPA θα μπορούσε να αλλάξει πριν από την έγκρισή του, η τρέχουσα γλώσσα του απομακρύνεται από το CCPA με δύο τρόπους:

• Η μεγαλύτερη αλλαγή είναι ότι οι επιχειρήσεις θα πρέπει να ενεργούν ως “Δεδομένα.” Ο προτεινόμενος νόμος αναφέρει ότι “Οποιαδήποτε οντότητα που συλλέγει, πωλεί ή άδειες προσωπικές πληροφορίες των καταναλωτών θα ασκήσει το καθήκον της φροντίδας, της πίστης και της εμπιστευτικότητας που αναμένεται από έναν καταπιστευματοδόχο σε σχέση με την εξασφάλιση των προσωπικών δεδομένων ενός καταναλωτή έναντι του κινδύνου προστασίας της ιδιωτικής ζωής.” Αυτή η υποχρέωση θα “Υποστηρίζουν οποιοδήποτε καθήκον που οφείλεται σε ιδιοκτήτες ή μέτοχο” μια οντότητα.
• Το NYPA δεν αναγνωρίζει σιωπηρή συγκατάθεση. Σε αντίθεση με το CCPA, το οποίο αναγνωρίζει τη σιωπηρή συγκατάθεση, το NYPA θα απαιτούσε από τις επιχειρήσεις να αποδείξουν ότι έχουν λάβει σαφή και προληπτική συμφωνία από τους καταναλωτές όπου απαιτείται.

Κύριο πάτωμα

Το GDPR’Η επιρροή στις Ηνωμένες Πολιτείες είναι εδώ και φαίνεται εδώ να παραμείνει καθώς περισσότερα κράτη ακολουθούν το παράδειγμά τους. Με δύο σημαντικούς νόμους για την προστασία της ιδιωτικής ζωής σε κάθε ακτή και παραλλαγές διάσπαρτα ενδιάμεσα, δεν είναι σαφές εάν το Κογκρέσο θα περάσει τελικά έναν ομοσπονδιακό νόμο για να δημιουργήσει κάποια ομοιομορφία. Μέχρι τότε, καθώς η νέα νομοθεσία εκτείνεται σε εταιρείες και οι επιχειρήσεις θα πρέπει να παραμείνουν ενημερωμένοι για να προστατευθούν από πιθανές ρυθμιστικές δράσεις και αγωγές.

Το GDPR έχει σημασία στις ΗΠΑ?

Τα άτομα και οι επιχειρήσεις και στις δύο πλευρές του Ατλαντικού μπορεί να αισθάνονται ότι επειδή ο γενικός κανονισμός για την προστασία των δεδομένων είναι νομοθεσία της ΕΕ, ισχύει μόνο για τις χώρες της ΕΕ. Ωστόσο, αυτή η ερμηνεία είναι λανθασμένη.

Η αλήθεια είναι ότι το GDPR’Η εφαρμογή είναι περισσότερα ΠΟΥ στοχεύετε και όχι που Η επιχείρησή σας βασίζεται. Έτσι, αν εσείς’re re a us που βασίζεται στην αμερικανική επιχείρηση με πελάτες της ΕΕ, εσείς’Θα πρέπει να λάβετε προσοχή – και να συμμορφωθείτε με – το GDPR. Ορισμένες επιχειρήσεις των ΗΠΑ πρέπει να είναι πεπεισμένοι σε αυτό το σημείο.

Uk vs us Data Data yough

Το GDPR ισχύει για σχεδόν όλους όσους χειρίζονται προσωπικά δεδομένα στην Ευρωπαϊκή Ένωση ή που χειρίζονται τα προσωπικά δεδομένα των ανθρώπων στην Ευρωπαϊκή Ένωση.

Αντίθετα, οι ΗΠΑ δεν διαθέτουν νόμο περί ιδιωτικής ζωής με ενιαία δεδομένα με εξίσου ευρεία εφαρμογή. Βρήκαμε μια ποικιλία ομοσπονδιακών και κρατικών νόμων που πλέκονται μαζί για να σχηματίσουν ένα αποσπασματικό καθεστώς προστασίας δεδομένων, με συγκεκριμένους τομείς (όπως η υγειονομική περίθαλψη) να είναι η κύρια εστίαση. Αυτή η προσέγγιση μπορεί να κάνει τη συμμόρφωση δύσκολη, καθώς τα απαιτούμενα πρότυπα προστασίας δεδομένων ποικίλλουν από κράτος σε κράτος.

Ίσως δεν εκπλήσσει, διαπιστώσαμε ότι το πρότυπο που απαιτείται από το GDPR ήταν συνήθως αρκετό για να ικανοποιήσει τα πρότυπα που απαιτούνται και από τους σχετικούς νόμους των ΗΠΑ.

Τι’διαφορετικός?

Το GDPR παρέχει έναν καθολικό ορισμό του “Προσωπικά δεδομένα”; Ο ισοδύναμος όρος στις ΗΠΑ είναι “Προσωπικά αναγνωρίσιμες πληροφορίες”, Και αυτό που αποτελεί το PII ποικίλλει ανάλογα με τον κρατικό νόμο. Για παράδειγμα, τα οικονομικά στοιχεία και οι εθνικοί αριθμοί ασφάλισης στο Ηνωμένο Βασίλειο δεν θεωρούνται ως “ευαίσθητος” Όσον αφορά τον αυστηρό νομικό ορισμό, αλλά τα οικονομικά στοιχεία και ο αριθμός κοινωνικής ασφάλισης θεωρούνται συχνά ευαίσθητοι στη νομοθεσία για την προστασία της ιδιωτικής ζωής των ΗΠΑ.

Το GDPR βασίζεται στην ιδέα ότι τα προσωπικά δεδομένα πρέπει να προστατεύονται και τα άτομα πρέπει να έχουν τον έλεγχο του τρόπου με τον οποίο χρησιμοποιούνται τα δεδομένα τους. Αυτά τα δικαιώματα περιλαμβάνουν το δικαίωμα στη διαγραφή, τη φορητότητα δεδομένων, την απόσυρση της συγκατάθεσης, τη διόρθωση ανακριβών δεδομένων, την πρόσβαση, τον περιορισμό και την αντίρρηση.

Θέματα δεδομένων’ Τα δικαιώματα στις ΗΠΑ είναι πολύ πιο περιορισμένα. Παρόλο που ο αμερικανικός νόμος καθιστά σαφές ότι πρέπει να παρέχονται ορισμένες πληροφορίες στα υποκείμενα των δεδομένων στο σημείο που συλλέγονται τα προσωπικά τους δεδομένα, γενικά δεν υπάρχουν περαιτέρω δικαιώματα πρόσβασης σε υποκείμενα δεδομένων ή το δικαίωμα διαγραφής. Τα περιορισμένα δικαιώματα υποκειμένων δεδομένων που ισχύουν σχετικά με τα παιδιά’Στοιχεία, όπως τα παιδιά’S Act Online Προστασία Προστασίας Προσωπικών Δεδομένων, ο οποίος επιτρέπει στους γονείς να βλέπουν τα προσωπικά στοιχεία που συλλέγονται από έναν ιστότοπο σχετικά με το παιδί τους και να διαγράψουν και να διορθώσουν αυτές τις πληροφορίες.

Ο Νέος Νόμος για την προστασία της ιδιωτικής ζωής των καταναλωτών της Καλιφόρνια εισάγει διάφορα δικαιώματα στους κατοίκους της Καλιφόρνιας – επιτρέποντάς τους να κατανοήσουν πώς χρησιμοποιούνται τα δεδομένα τους, να το διαγράψουν και να αποχωρήσουν από μια επιχείρηση να είναι σε θέση να πουλήσουν τις πληροφορίες τους.

Σύμφωνα με το GDPR, οι μεταφορές προσωπικών δεδομένων εκτός του ΕΟΧ είναι περιορισμένες – κυρίως για να διασφαλιστεί ότι τα δικαιώματα δεδομένων που είναι διαθέσιμα στα άτομα αρένα’δεν υπονομεύεται επειδή χρησιμοποιείται ένας διεθνής πάροχος. Αυτό συνήθως σημαίνει ότι οι διεθνείς μεταφορές προσωπικών δεδομένων θα υπόκεινται στην Ασπίδα Προστασίας Προσωπικών Δεδομένων της ΕΕ-ΗΠΑ, στις συμβατικές ρήτρες του μοντέλου ή στους δεσμευτικούς εταιρικούς κανόνες.

Αντίθετα, υπάρχουν λίγα όρια για τη μεταφορά προσωπικών δεδομένων εκτός των ΗΠΑ που επιβάλλονται από το αμερικανικό δίκαιο. Ενώ οι νόμοι και οι κανονισμοί των ΗΠΑ εξακολουθούν να ισχύουν για τα δεδομένα αφού έχουν αφήσει τις ΗΠΑ, αυτές επικεντρώνονται κυρίως στην εξασφάλιση των αμερικανικών οντοτήτων παραμένουν υπεύθυνες για τα δεδομένα.

Το GDPR έχει επεκτείνει τις μέγιστες κυρώσεις για παραβιάσεις της προστασίας των δεδομένων σε € 20 εκατομμύρια ή 4% του ετήσιου παγκόσμιου κύκλου εργασιών, όποιο είναι το υψηλότερο. Αντίθετα, η FTC (Ομοσπονδιακή Επιτροπή Εμπορίου) επιτρέπει πρόστιμα μέχρι 16.000 $ ανά αδίκημα.

Τι’δεν είναι τόσο διαφορετικό?

Θα έπρεπε να’Μόλις έχουμε συγκατάθεση για τα πάντα?

Η συγκατάθεση συλλογής θεωρείται συχνά ως ένας απλός τρόπος αποφυγής της εξέτασης των πρακτικών δεδομένων λεπτομερώς. Αφήνω’Απλώς πάρτε το θέμα των δεδομένων’συγκατάθεση για τα παντα, σωστά? Λανθασμένος.

Η συγκατάθεση είναι ένας από τους έξι τρόπους που μπορείτε να νομιμοποιήσετε το χειρισμό προσωπικών δεδομένων, αλλά δεν είναι το μόνο και συχνά χρησιμοποιείται υπερβολικά. Τόσο το GDPR όσο και οι νόμοι περί προστασίας δεδομένων των ΗΠΑ ευθυγραμμίζονται εδώ – Don’Χρειάζεστε συγκατάθεση για τα πάντα.

Στην ΕΕ, οι ελεγκτές δεδομένων πρέπει να ειδοποιήσουν την εθνική τους εποπτική αρχή εάν υπάρχει παραβίαση της ασφάλειας δεδομένων και σε ορισμένες περιπτώσεις, οι ελεγκτές δεδομένων θα πρέπει επίσης να ειδοποιήσουν το υποκείμενο των δεδομένων. Οι ειδοποιήσεις παραβίασης δεδομένων απαιτούνται επίσης στις ΗΠΑ, όπου 48 από τα 50 κράτη έχουν πλέον θεσπίσει νόμους ειδοποίησης παραβίασης ασφαλείας.

GDPR US ισοδύναμο: Πώς συγκρίνουν οι ΗΠΑ και η ΕΕ τους νόμους περί ιδιωτικότητας δεδομένων

Αν εσύ’Επισκεφθήκατε έναν ιστότοπο ή έλεγξα το email σας τα τελευταία χρόνια, εσείς’Αναμφισβήτητα εξοικειωμένος με το GDPR. Οι εταιρείες που σας ενημερώνουν για τις ενημερώσεις και τους ιστότοπους της Πολιτικής Προστασίας Προσωπικών Δεδομένων που σας ζητούν να διαχειριστείτε τις προτιμήσεις cookie σας είναι απλώς μερικοί τρόποι που βιώνουμε τον αντίκτυπο του νόμου περί ιδιωτικού απορρήτου ορόσημων.

Παρά το γεγονός ότι συντάχθηκε και υιοθετείται από την Ευρωπαϊκή Ένωση, το GDPR έχει παγκόσμιες επιπτώσεις. Πέρα από τον αντίκτυπο στον τρόπο με τον οποίο η επιχείρησή σας διαχειρίζεται την προοπτική και τα δεδομένα των πελατών, οι ολοκληρωμένες πολιτικές έχουν συνεχίσει να επηρεάζουν τους νόμους περί ιδιωτικής ζωής σε όλο τον κόσμο – συμπεριλαμβανομένων των Ηνωμένων Πολιτειών. Ενώ δεν υπάρχει ισοδύναμο GDPR σε ομοσπονδιακό επίπεδο, μεμονωμένα κράτη, όπως η Καλιφόρνια, έχουν εφαρμόσει παρόμοιες πολιτικές.

Η παραμονή στην κορυφή των τοπικών, ομοσπονδιακών και διεθνών κανονιστικών απαιτήσεων είναι απαραίτητη για την επιχείρησή σας να παραμένει συμμορφούμενη και να αποφεύγει τα έντονα πρόστιμα.

Μια σύντομη επισκόπηση του GDPR

Ο γενικός κανονισμός για την προστασία των δεδομένων (GDPR), που θεσπίζεται από την Ευρωπαϊκή Ένωση (ΕΕ) το 2016, είναι ένας ολοκληρωμένος κανονισμός που καθορίζει τα πρότυπα για την απόκτηση, τη διαχείριση και την επεξεργασία των προσωπικών δεδομένων των πολιτών της ΕΕ και των κατοίκων τους. Στο πλαίσιο του GDPR, τα προσωπικά δεδομένα είναι οποιαδήποτε πληροφορία που συνδέεται με ένα αναγνωρίσιμο φυσικό άτομο ή “υποκείμενο δεδομένων.”

Το πιο σημαντικό στοιχείο του GDPR είναι ότι ο κανονισμός υπαγορεύει ότι κανένας οργανισμός δεν μπορεί να συλλέξει, να αποθηκεύσει ή να χρησιμοποιήσει προσωπικά δεδομένα χωρίς τη ρητή συγκατάθεση του υποκειμένου των δεδομένων.

Το ευρύ φάσμα των προσωπικών αναγνωρίσιμων πληροφοριών (PII)

Σε αντίθεση με παρόμοιους νόμους περί προστασίας δεδομένων των ΗΠΑ, οι οποίοι περιορίζουν τα δεδομένα σε οικονομικά ή υγειονομικά στοιχεία, το GDPR προστατεύει και ρυθμίζει διάφορους τομείς πληροφοριών που μπορούν να συνδεθούν με υποκείμενα δεδομένων, συμπεριλαμβανομένων των πληροφοριών τοποθεσίας, των διευθύνσεων IP και των δεδομένων cookie και των δεδομένων cookie. Όλοι κάτω από την ομπρέλα προσωπικών αναγνωρίσιμων πληροφοριών, εάν η επιχείρησή σας συλλέγει ή επεξεργαστεί αυτές τις πληροφορίες, όπως μέσω μορφών σύλληψης μολύβδου ή διαφημιστικών εικονοστοιχείων, εσείς’είναι υπεύθυνος για τη συμμόρφωση με το GDPR.

Ο αντίκτυπος της μη συμμόρφωσης

Η διατήρηση της συμμόρφωσης με το GDPR δεν είναι μόνο στους πελάτες σας’ τα καλύτερα ενδιαφέροντα αλλά στην επιχείρησή σας’το καλύτερο συμφέρον. Οι ιστορίες τρόμου μη συμμόρφωσης και παραβιάσεων δεδομένων μπορούν να συνοδεύονται από έντονα πρόστιμα. Ανάλογα με το μέγεθος της επιχείρησής σας, τα πρόστιμα μπορούν να κυμαίνονται μεταξύ 11 και 21 εκατομμυρίων $ ή 2 – 4% του ετήσιου παγκόσμιου κύκλου εργασιών σας.

Τι σημαίνει το GDPR για τις επιχειρήσεις στις ΗΠΑ?

Γνωρίζουμε ότι το GDPR έχει μεγάλες επιπτώσεις, συμπεριλαμβανομένων των επιχειρήσεων στις Ηνωμένες Πολιτείες. Ενώ μπορεί να είναι εύκολο να αγνοήσετε τις απαιτήσεις GDPR αν είστε’σε μια πολυεθνική εταιρεία, θα προσέχοντες να μην. Ακόμα κι αν δεν κάνετε’Το T σκοπεύει να συλλέξει δεδομένα από ή να πωλεί στους κατοίκους της ΕΕ, εάν οι ψηφιακές σας ιδιότητες, συμπεριλαμβανομένων των ιστότοπων, προσελκύουν επισκέπτες από την ΕΕ ή τον Ευρωπαϊκό Οικονομικό Περιοχή (ΕΟΧ), τότε το GDPR εφαρμόζει.

Πείτε ότι ένας επισκέπτης από ένα κράτος μέλος της ΕΕ φτάνει στον ιστότοπό σας και προσυπογράφει στο ιστολόγιό σας ή κατεβάζει ένα ερευνητικό χαρτί. Οι προσπάθειές σας επαναπροσανατολισμού μέσω της Google ή του LinkedIn Advertising ενδέχεται να αποβάλουν ένα εικονοστοιχείο παρακολούθησης στο πρόγραμμα περιήγησής τους. Αυτός ο χρήστης είναι τώρα ένα θέμα δεδομένων και εσείς’άρχισε να επεξεργάζεται τα δεδομένα τους.

Με τον πλούτο των σεναρίων διαθέσιμα για ευαίσθητη συλλογή δεδομένων, η παραμονή στην κορυφή των βέλτιστων πρακτικών για τη συμμόρφωση με το GDPR είναι ζωτικής σημασίας για τις επιχειρήσεις των ΗΠΑ. Αλλά πέρα ​​από τις κανονιστικές απαιτήσεις, το GDPR έχει πρόσθετο αντίκτυπο στη νομοθεσία περί ιδιωτικού απορρήτου παγκοσμίως, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών.

ΣΥΝΙΣΤΑΤΑΙ ΓΙΑ ΕΣΕΝΑ

Τι είναι προσωπικά αναγνωρίσιμα δεδομένα?

Η κατανόηση του τι καθορίζει τα προσωπικά αναγνωρίσιμα δεδομένα θα σας βοηθήσει να αξιολογήσετε εάν το GDPR ισχύει για την επιχείρησή σας.

Οι ΗΠΑ έχουν παρόμοιους νόμους περί προστασίας δεδομένων?

Ενώ ο ομοσπονδιακός νόμος δεν έχει ακόμη αντιμετωπίσει την ασφάλεια των δεδομένων και την επεξεργασία δεδομένων στην έκταση του GDPR, οι κρατικοί νόμοι χρησιμεύουν ως ισοδύναμα GDPR στις Ηνωμένες Πολιτείες. Από το 2022, πέντε κράτη, όπως η Γιούτα, το Κολοράντο, η Βιρτζίνια, το Κονέκτικατ και η Καλιφόρνια, διαθέτουν κάποιο είδος νόμου περί ιδιωτικού απορρήτου καταναλωτών. Εν τω μεταξύ, περισσότερα από 15 κράτη εξετάζουν παρόμοια νομοθεσία της δικής τους.

Προστασία των δεδομένων των κατοίκων της Καλιφόρνια

Ο νόμος για την προστασία της ιδιωτικής ζωής της Καλιφόρνια (CCPA), που ψηφίστηκε το 2018, ήταν ο πρώτος στις ΗΠΑ ως απάντηση στο GDPR και τις παραβιάσεις της ιδιωτικής ζωής των δεδομένων στο κράτος. Διαθέτει παρόμοιους κανονισμούς προστασίας δεδομένων, αν και βεβαίως σε πεπερασμένη κλίμακα.

• Προσωπικές πληροφορίες vs. προσωπικά δεδομένα: Ενώ χρησιμοποιείται συχνά εναλλακτικά, το CCPA απευθύνεται ειδικά και προστατεύει προσωπικές πληροφορίες Αυτό μπορεί εύλογα να συνδεθεί με ένα καταναλωτής στην Καλιφόρνια
• Καταναλωτές vs. Θέματα δεδομένων: Ενώ το GDPR προστατεύει τυχόν υποκείμενα δεδομένων που ζουν στην ΕΕ (συμπεριλαμβανομένων των πολιτών των ΗΠΑ), το πεδίο εφαρμογής του CCPA περιορίζεται στις πληροφορίες των κατοίκων της Καλιφόρνια και, πιο συγκεκριμένα, στους καταναλωτές
• Κερδοσκοπικές επιχειρήσεις vs. Επεξεργαστές δεδομένων: Το CCPA ρυθμίζει συγκεκριμένες εταιρείες κερδοσκοπικού χαρακτήρα που χειρίζονται τα δεδομένα των καταναλωτών της Καλιφόρνια, ενώ το GDPR παρέχει ρυθμιστικές οδηγίες για όποιος Οργάνωση εντός και εκτός των κρατών μελών της ΕΕ που επεξεργάζονται δεδομένα, συμπεριλαμβανομένων πολυεθνικών εταιρειών
• Απαιτούμενη επίβλεψη: Ενώ το GDPR απαιτεί την πρόσληψη ενός υπεύθυνου προστασίας δεδομένων (DPO) για να επιβλέπει τη συμμόρφωση και να ενεργεί ως σύνδεσμος για σκοπούς ελέγχου, η CCPA δεν έχει τέτοια απαίτηση για εποπτεία

Τον Ιανουάριο του 2023, ο νόμος περί δικαιωμάτων απορρήτου της Καλιφόρνια (CRPA), τροποποίηση της CCPA, τέθηκε σε ισχύ. Αυτό παρέχεται για νέες απαιτήσεις, δικαιώματα και μηχανισμούς επιβολής για το CCPA, συμπεριλαμβανομένου του σαφούς ορισμού του ποιος επηρεάζεται από τη νομοθεσία και την προστασία για “ευαίσθητα προσωπικά στοιχεία.” ΕΙΔΙΚΑ:

• Επέκταση του κατωφλίου των επιχειρήσεων από εκείνες που αγοράζουν, πωλούν ή μοιράζονται τα προσωπικά στοιχεία των 50.000 κατοίκων σε 100.000 ή περισσότερα
• Ορίζει μια νέα κατηγορία ευαίσθητων προσωπικών πληροφοριών ως συμπερίληψη αναγνωριστικών που εκδίδονται από την κυβέρνηση, χρηματοδότηση πληροφοριών, δεδομένα γεωγραφικής κατανάλωσης, καθώς και δημογραφικά στοιχεία όπως η φυλή, η θρησκεία και άλλα

Σε υψηλό επίπεδο, και οι δύο πολιτικές παρέχουν στα άτομα μεγαλύτερη σαφήνεια και ελέγχουν τα προσωπικά τους δεδομένα και την επεξεργασία τέτοιων δεδομένων. Όσον αφορά το GDPR, τα στοιχεία για την υγεία και τα οικονομικά στοιχεία εμπίπτουν στην μεγαλύτερη ομπρέλα προσωπικών πληροφοριών. Στις Ηνωμένες Πολιτείες, παρόμοια δεδομένα ρυθμίζονται εκτενώς μέσω πολλαπλών ομοσπονδιακών νόμων.

Διαφύλαξη δεδομένων υγείας των ασθενών

Ο νόμος περί φορητότητας και λογοδοσίας ασφάλισης υγείας (HIPAA), που ψηφίστηκε το 1996, ρυθμίζει τις προστατευόμενες πληροφορίες για την υγεία (PHI). Οργανισμοί που χειρίζονται το PHI, συμπεριλαμβανομένου “καλυμμένες οντότητες” Όπως οι πάροχοι υγειονομικής περίθαλψης ή οι επιχειρηματικοί συνεργάτες, όπως οι εταιρείες χρέωσης ή EHR, είναι υπεύθυνοι για τη συμμόρφωση με τους κανονισμούς HIPAA. Εάν η επιχείρησή σας αξιοποιεί ή επεξεργάζεται τα αρχεία ασθενών, τα στοιχεία πληρωμής, τα βιομετρικά δεδομένα ή τις πληροφορίες του σχεδίου υγείας, εσείς’Πιθανότατα υπόκειται σε συμμόρφωση με HIPAA.

Ρύθμιση των πληρωμών και των συναλλαγών πιστωτικών καρτών

Εν τω μεταξύ, ο νόμος Gramm-Leach-Bliley (GLBA), που θεσπίζεται το 1999, απαιτεί από τα χρηματοπιστωτικά ιδρύματα να παρέχουν σε άτομα μεγαλύτερη πρόσβαση και διαφάνεια στη χρήση των προσωπικών τους δεδομένων. Η διατήρηση της συμμόρφωσης με το GLBA περιλαμβάνει την επικοινωνία του τρόπου με τον οποίο ένας πελάτης όπως ένας πελάτης’το όνομα, τη διεύθυνση, τον αριθμό τηλεφώνου ή τους αριθμούς λογαριασμού και κοινωνικής ασφάλισης αντιμετωπίζονται και μοιράζονται. Παρόμοια με τα CCPA και CPRA και GDPR, τα ιδρύματα πρέπει να προσφέρουν την ευκαιρία να αποχωρήσουν από τα δεδομένα τους που μοιράζονται με τρίτους.

Παρόμοια με το CCPA και το GDPR, η μη συμμόρφωση με την HIPAA και την GLBA μπορεί να επηρεάσει σημαντικά ένα θεσμικό όργανο, με πρόστιμα ανά προσβολή πάνω από 100.000 $ για GLBA ή 50.000 $ για HIPAA. Επαναλάβετε τα αδικήματα HIPAA μπορούν να μειώσουν τα πρόστιμα μέχρι 250.000 $, παρέχοντας ένα σαφές κίνητρο για τη διατήρηση της συμμόρφωσης.

Δημιουργία δικαιωμάτων με κυβερνητικές υπηρεσίες των ΗΠΑ

Δεδομένου ότι το CCPA ρυθμίζει τους κερδοσκοπικούς οργανισμούς, αυτό’S κυρίως περιορίζεται στα δεδομένα που χρησιμοποιούνται για εμπορικούς σκοπούς. Ο νόμος για την προστασία της ιδιωτικής ζωής του 1974 ρυθμίζει τον τρόπο με τον οποίο ο δημόσιος τομέας διαχειρίζεται τα δεδομένα σας.

Σχεδιασμένο ως απάντηση στην έναρξη βάσεων δεδομένων και υπολογιστών που θα μπορούσαν τώρα να αποθηκεύουν πληθώρα πληροφοριών, ο νόμος περί ιδιωτικού απορρήτου καθοδηγεί ομοσπονδιακές υπηρεσίες για την προστασία, τη συντήρηση και τη διάδοση των δεδομένων. Η πράξη παρέχει τέσσερα δικαιώματα που έχουν οι Αμερικανοί πολίτες σχετικά με τα προσωπικά τους δεδομένα:

1. Οι οργανισμοί υποχρεούνται να μοιράζονται αρχεία που διατηρούνται σε ένα άτομο όταν τους ζητηθεί
2. Οι οργανισμοί πρέπει να ακολουθήσουν “Πρακτικές δίκαιης πληροφόρησης,” που καθορίζουν το πεδίο εφαρμογής και την ποιότητα των οργανισμών δεδομένων μπορούν εύλογα να συλλέγουν και να διαχειριστούν.
3. Οι οργανισμοί πρέπει να τηρούν τις περιοριστικές κατευθυντήριες γραμμές για την ανταλλαγή προσωπικών δεδομένων μεταξύ οργανισμών ή με άλλα άτομα.
4. Οι οργανισμοί μπορούν να εναχθούν για παραβίαση οποιουδήποτε από τα παραπάνω δικαιώματα.

Το’είναι σημαντικό να σημειωθεί ότι ο νόμος περί ιδιωτικού απορρήτου δεν είναι παντοδύναμη. Οι κυβερνητικές υπηρεσίες που είναι υπεύθυνες για την επιβολή του νόμου, όπως το Ομοσπονδιακό Γραφείο Διερεύνησης (FBI) και η Κεντρική Υπηρεσία Πληροφοριών (CIA), απαλλάσσονται από τη νομοθεσία. Επιπλέον, η πράξη προσφέρει “ρουτίνα” και άλλες εξαιρέσεις όπως για χρήση στην απογραφή των ΗΠΑ.

Τι ισχύει το μέλλον για τους νόμους περί προστασίας δεδομένων στις Ηνωμένες Πολιτείες?

Όσον αφορά το ισοδύναμο του GDPR στις Ηνωμένες Πολιτείες, η προστασία των δεδομένων είναι περισσότερο ένα ποσό των τμημάτων της παρά μια ολοκληρωμένη προσέγγιση. Νομοθεσία όπως ο νόμος περί ιδιωτικού για τους καταναλωτές της Καλιφόρνια ή ο νόμος περί προστασίας των καταναλωτών της Βιρτζίνια, καλύπτει παρόμοιες ανάγκες για τους νόμους περί ιδιωτικής ζωής στα σύνορα των μεμονωμένων κρατών.

Η ύπαρξη διασυνοριακών μεταφορών δεδομένων και μιας παγκόσμιας οικονομίας οδηγεί την ανάγκη για περισσότερες αμερικανικές εταιρείες να επιτύχουν τη συμμόρφωση με το GDPR, αλλά αυτό’δεν είναι καθολική απαίτηση.

Οι ΗΠΑ’ Η προσέγγιση στην προστασία των δεδομένων και η πολιτική διαφάνειας είναι συνονθύλευμα τα τελευταία χρόνια. Ωστόσο, το 2022 είδε σημαντικά πρόστιμα που εισπράττονται από την Ομοσπονδιακή Επιτροπή Εμπορίου μέσω παραβιάσεων της ιδιωτικής ζωής και ανανεωμένες προσπάθειες από το Κογκρέσο για τη δημιουργία μιας συνεκτικής εθνικής πολιτικής για την ιδιωτικότητα των δεδομένων.

Η Ομοσπονδιακή Επιτροπή Εμπορίου προχώρησε στην παραβίαση της συμμόρφωσης

Συγκεκριμένα, η FTC διέταξε τα επικά παιχνίδια για να πληρώσουν πάνω από 500 εκατομμύρια δολάρια σε πρόστιμα για παραβίαση των παιδιών’S Online Act Privacy Protection (COPPA) μέσω παραπλανητικού σχεδιασμού διεπαφής χρήστη ή “σκούρα σχέδια” Αυτό προκάλεσε χιλιάδες ακούσιες αγορές και αποφάσεις για την προστασία της ιδιωτικής ζωής των παιδιών και των εφήβων.

Επιπλέον, ένας συνασπισμός άνω των 40 γενικών εισαγγελέων έφτασε σε ορόσημο με το Google βόρεια των 350 εκατομμυρίων δολαρίων για την επεξεργασία δεδομένων τοποθεσίας τους. Οι αποφάσεις σηματοδοτούν μια στιγμή της λεκάνης απορροής στον κανονισμό για την ασφάλεια των πληροφοριών των ΗΠΑ και τον τρόπο με τον οποίο οι εταιρείες μπορούν να θεωρηθούν οικονομικά υπεύθυνες για την παραβίαση συγκεκριμένων νόμων περί ιδιωτικής ζωής.

Περιεκτικό δίκαιο απορρήτου δεδομένων Ενδεχομένως για συζήτηση

Ο αντίκτυπος της υφιστάμενης νομοθεσίας έχει αναζωογονήσει τις συνομιλίες για ένα ολοκληρωμένο ισοδύναμο με το GDPR στις Ηνωμένες Πολιτείες. Το 2022, ο νόμος περί Προστασίας Προσωπικών Δεδομένων και Προστασίας των Αμερικανών Δεδομένων (ADPPA) πέρασε από την Επιτροπή του Κογκρέσου με διμερή υποστήριξη. Αλλά ποτέ δεν είχε τεθεί σε ψηφοφορία στο πάτωμα της Βουλής των Αντιπροσώπων. Το νομοσχέδιο θα προλάβει τον νόμο περί προστασίας της ιδιωτικής ζωής της Καλιφόρνια και θα παραμένει μια επιλογή για συζήτηση και απόφαση το 2023.

Πώς να υπολογίσετε τους διαφορετικούς νόμους περί ιδιωτικότητας δεδομένων

Ο αντίκτυπος της μη συμμόρφωσης δεν είναι’T περιορίζεται σε πρόστιμα και ποινικές κυρώσεις. Ο αντίκτυπος των πελατών των παραβιάσεων δεδομένων αναδύεται μεγάλες και η διατήρηση της εμπιστοσύνης τους μπορεί συχνά να εξαρτάται από την εταιρεία σας’η ικανότητα να προστατεύει τις πληροφορίες τους.

Με τόσες πολλές νομικές κατευθυντήριες γραμμές, πρωτόκολλα και κανονισμούς που θα ακολουθήσουν, πώς μπορεί η επιχείρησή σας να παραμείνει μπροστά από την καμπύλη ασφάλειας δεδομένων?

Κάνοντας τις σωστές προσλήψεις για την ομάδα σας

Σε ορισμένες περιπτώσεις, το μονοπάτι προς τα εμπρός είναι αρκετά απλό. Ανάλογα με την επιχείρησή σας, το GDPR μπορεί να απαιτήσει την πρόσληψη υπαλλήλου προστασίας δεδομένων ή DPO. Οι ευθύνες ενός DPO περιλαμβάνουν την εκπαίδευση των εργαζομένων σχετικά με τη συμμόρφωση και τα δεδομένα και τη διεξαγωγή τακτικών ελέγχων ασφαλείας. Το DPO χρησιμεύει επίσης ως πρωταρχικό σημείο επαφής για την πρόσβαση στα δεδομένα της εταιρείας για έλεγχο ή με άλλο τρόπο.

Οι υπεύθυνοι προστασίας δεδομένων και οι άλλες προσλήψεις ασφάλειας και συμμόρφωσης είναι απαραίτητες για την εξασφάλιση ότι η επιχείρησή σας μπορεί να παρακολουθεί το συνεχώς μεταβαλλόμενο τοπίο του νόμου περί ασφάλειας πληροφοριών. Με σαφή ορατότητα στην επιχείρησή σας’ Πρακτικές δεδομένων και ασφάλεια πληροφοριών, τέτοιοι ρόλοι μπορούν να παρακολουθούν πιο άψογα, να συμβουλεύουν και να διατηρούν τη στάση της συμμόρφωσης σας.

Εργασία με έναν συνεργάτη

Ενώ η πρόσληψη των μελών της ομάδας για την παρακολούθηση και τον προσδιορισμό των επιχειρηματικών επιπτώσεων αυτών των τάσεων ενδέχεται να μην είναι στην εκκίνηση σας’S HAROMAP, θα πρέπει να αξιολογείτε συνεχώς πώς να προσεγγίζετε την ασφάλεια για το συγκεκριμένο στάδιο σας. Αυτό σημαίνει να έχετε επίγνωση του ιδρύματος ασφαλείας, των εργαλείων και των πρακτικών δεδομένων για να κατανοήσετε τον τρόπο με τον οποίο οι αλλαγές στη συμμόρφωση των κανονισμών ενδέχεται να επηρεάσουν τις επιχειρηματικές σας δραστηριότητες.

Δεν είστε σίγουροι από πού να αρχίσετε? Ξεκινήστε μιλώντας με έναν από τους ειδικούς μας.

Εξερευνήστε περισσότερο περιεχόμενο

Η επιχείρησή σας χειρίζεται προσωπικά αναγνωρίσιμα δεδομένα?

Μάθετε περισσότερα σχετικά με το πεδίο εφαρμογής του GDPR καθώς σχετίζεται με προσωπικά αναγνωρίσιμα δεδομένα και τι μπορεί να σημαίνει για την επιχείρησή σας.

Μοιραστείτε αυτήν την ανάρτηση με το δίκτυό σας:

Θα u.μικρό. Υιοθετήστε έναν εθνικό νόμο απορρήτου δεδομένων παρόμοιο με το GDPR?

Έχετε ακούσει την ερώτηση, “Είναι η Αμερική ένα δοχείο τήξης ή ένα μπολ σαλάτας?” Αφήνω’S Εφαρμόστε αυτήν την έννοια στους νόμους περί ιδιωτικότητας δεδομένων. Σήμερα, στο u.μικρό. Δεν υπάρχει συνεπής, εθνικός νόμος περί ιδιωτικού απορρήτου δεδομένων. Αντ ‘αυτού οι επιχειρήσεις προσπαθούν να κατανοήσουν ένα ‘μικτή σαλάτα’ διαφορετικών κανονισμών και νόμων που επιβάλλονται από μεμονωμένα κράτη και ρυθμιστικούς φορείς που βασίζονται στη βιομηχανία.

Η ανάγκη για νόμους περί ιδιωτικής ζωής σε εθνικό επίπεδο

Καθώς η τεχνολογία συνεχίζει να εξελίσσεται και να επηρεάζει τόσες πολλές πτυχές της ζωής μας, το ψηφιακό περιβάλλον απαιτεί πραγματικά ένα γενικό πλαίσιο για την εξασφάλιση και την επιβολή της ιδιωτικής ζωής των δεδομένων.

Εξαλείψτε τη σύγχυση και την αναποτελεσματικότητα

Οι επιχειρήσεις σήμερα δεν λειτουργούν στα σύνορα. Οι προμηθευτές, οι προμηθευτές, οι πελάτες και οι επιχειρηματίες συνεργάζονται όλοι για να τεντώσουν τις επιχειρήσεις σε όλα τα κρατικά και διεθνή σύνορα. Συχνά, λειτουργούν ή βασίζονται σε επιχειρήσεις σε πολλές βιομηχανίες. Έχοντας την πλοήγηση σε διάφορους ομοσπονδιακούς, κρατικούς και βιομηχανικούς κανονισμούς δημιουργεί σύγχυση και αναποτελεσματικότητα για οντότητες, αξιολογητές και ρυθμιστικούς φορείς.

Αποφύγετε υπερβολικό βάρος συμμόρφωσης

Ομοίως, με τα πολλαπλά πρότυπα που ισχύουν, η διαδικασία αναφοράς και συμμόρφωσης απαιτεί περισσότερο χρόνο, προσπάθεια και χρήματα από οντότητες.

Επειδή η GDPR ήρθε πρώτη (στην πραγματικότητα από τον Μάιο του 2018), πολλές αμερικανικές και πολυεθνικές εταιρείες έχουν ήδη καταβάλει προσπάθεια να επιτύχουν τη συμμόρφωση με το GDPR και να συνεχίσουν τις επιχειρήσεις με τους ευρωπαίους πελάτες τους. Προκειμένου να αποφευχθεί η περαιτέρω επιβάρυνση συμμόρφωσης, u.μικρό. Η νομοθεσία για την προστασία της ιδιωτικής ζωής θα πρέπει να προσπαθήσει να παραμείνει κοντά στο πρότυπο που έχει ήδη καθοριστεί από το GDPR.

Κρατήστε τους κανονισμούς από το να καταστεί παρωχημένοι

U.μικρό. Οι νόμοι για την ιδιωτικότητα των δεδομένων που βρίσκονται επί του παρόντος στα βιβλία γράφτηκαν στο παρελθόν και σχεδιάστηκαν για να ρυθμίζουν ένα διαφορετικό περιβάλλον. Τώρα, χρειαζόμαστε κανονισμούς που είναι αρκετά ευέλικτοι για να αντιμετωπίσουμε την ανάπτυξη της τεχνολογίας και εξακολουθούν να ισχύουν στο μέλλον.

Ενίσχυση της προστασίας της ιδιωτικής ζωής

Τα κενά και οι επικαλύψεις είναι φυσικό αποτέλεσμα πολλαπλών κανονισμών. Σε ορισμένες περιπτώσεις, βρίσκονται σε σύγκρουση μεταξύ τους. Ωστόσο, σε μια εποχή που τα προσωπικά δεδομένα είναι όλο και πιο ευάλωτα, η προστασία της ιδιωτικής ζωής είναι πιο κρίσιμη από ποτέ. Οι κανονισμοί πρέπει να είναι περιεκτικοί και σαφείς – καλύπτοντας όλους τους τύπους προσωπικών πληροφοριών με όλες τις μορφές – προκειμένου να παρέχονται το ισχυρότερο επίπεδο προστασίας.

U.μικρό. Νόμοι περί ιδιωτικής ζωής δεδομένων

Δεν υπάρχει κανένας ομοσπονδιακός νόμος για την προστασία της ιδιωτικής ζωής, όπως το GDPR στις Ηνωμένες Πολιτείες. Υπάρχουν ορισμένοι εθνικοί νόμοι που έχουν τεθεί σε εφαρμογή για τη ρύθμιση της χρήσης δεδομένων σε ορισμένες βιομηχανίες.

• 1974 – Ο U.μικρό. Νόμος περί ιδιωτικής ζωήςπου περιγράφει τα δικαιώματα και τους περιορισμούς σχετικά με τα δεδομένα που κατέχουν οι κυβερνητικές υπηρεσίες των ΗΠΑ.
• 1996 – Νόμος περί φορητότητας και λογοδοσίας ασφάλισης υγείας (HIPAA) που ρυθμίζει την ιδιωτική ζωή και την ασφάλεια στη βιομηχανία υγειονομικής περίθαλψης.
• 1999 – Πράξη gramm-leach-bliley (GLBA) που διέπει τον τρόπο με τον οποίο οι καταναλωτές’ Οι μη δημόσιες πληροφορίες απορρήτου συλλέγονται και χρησιμοποιούνται στον χρηματοπιστωτικό κλάδο.
• 2000 – Παιδιά’S Online Act Privacy Protection (COPPA) έκανε ένα πρώτο βήμα στη ρύθμιση των προσωπικών πληροφοριών που συλλέχθηκαν από ανηλίκους. Ο νόμος απαγορεύει συγκεκριμένα στις εταιρείες στο διαδίκτυο’S επαληθεύσιμη γονική συγκατάθεση.

Τώρα βρίσκουμε τον εαυτό μας το έτος 2020. Και σημειώθηκε πλέον σημαντική πρόοδος προς ένα ενοποιημένο πλαίσιο – σε όλα τα κράτη και τις βιομηχανίες – των βέλτιστων πρακτικών απορρήτου δεδομένων σε 20 χρόνια. Η FTC ήταν η μόνη κατευθυντήρια δύναμη για την τιμωρία των τεχνολογικών και κοινωνικών μέσων ενημέρωσης που έχουν παραπλανήσει τους χρήστες για το πώς συλλέγονται και πωλούνται τα δεδομένα τους σε τρίτους.

Αλλά τα πρόστιμα δεν είναι μια αποτελεσματική μορφή ρύθμισης και δεν κάνουν’να βοηθήσουμε τις εταιρείες να κατανοήσουν και να εφαρμόσουν βέλτιστες πρακτικές. Τι’που απαιτείται είναι ένα πλαίσιο που καθοδηγεί τις οντότητες στην ανάπτυξη αποτελεσματικών πολιτικών και πρακτικών απορρήτου δεδομένων – από το έδαφος. Όχι μόνο τιμωρώντας παραβιάσεις – από την κορυφή προς τα κάτω. Επειδή η αλήθεια είναι, μπορούμε εδώ σχετικά με τις περιπτώσεις που αφορούν το Facebook και το Zoom, αλλά πόσες άλλες περιπτώσεις αναποτελεσματικής ασφάλειας είναι απαρατήρητες?

Διαφορά μεταξύ u.μικρό. και τους νόμους περί ιδιωτικότητας δεδομένων της ΕΕ

Μπορούμε’να κάνουμε μια δίκαιη σύγκριση επειδή δεν υπάρχει’t (ακόμα) a u.μικρό. ισοδύναμο με το GDPR. Ουσιαστικά, η ΕΕ σέβεται την ιδιωτική ζωή ως θεμελιώδες δικαίωμα των πολιτών. Το GDPR είναι ένα ολοκληρωμένο πλαίσιο προστασίας προσωπικών δεδομένων που έχει σχεδιαστεί για τη διαφύλαξη αυτών των δικαιωμάτων. Διέπει τις εταιρείες που δραστηριοποιούνται σε κράτη μέλη της ΕΕ καθώς και σε διεθνείς οντότητες που αλληλεπιδρούν με τους κατοίκους της ΕΕ.

Ορισμένοι προτεινόμενοι κανονισμοί περιλαμβάνουν τον νόμο περί διάδοσης των αμερικανικών δεδομένων, τον νόμο περί προστασίας των δεδομένων των καταναλωτών και τον νόμο περί φροντίδας δεδομένων. Σε αυτό το σημείο, ωστόσο, καμία πρόταση δεν έχει αποκτήσει αρκετή υποστήριξη στο Κογκρέσο για να γίνει νέος νόμος.

Το πλησιέστερο εθνικό δίκαιο με σθένος θα ήταν αναμφισβήτητα η HIPAA, η οποία σχεδιάστηκε για να προστατεύσει τις πληροφορίες της ιδιωτικής ζωής και της υγειονομικής περίθαλψης των ασθενών και της υγειονομικής περίθαλψης. Ωστόσο, δεν έχουμε κανονισμούς που καλύπτουν την ιδιωτική ζωή των καταναλωτών και την ασφάλεια των δεδομένων σε όλες τις βιομηχανίες.

Τα μη ενωμένα κράτη της ιδιωτικής ζωής των δεδομένων

Τα τελευταία χρόνια, εμείς’Έχουν δει τα κράτη να εισαγάγουν τους δικούς τους κανονισμούς για την προστασία της ιδιωτικής ζωής των καταναλωτών. Ο νόμος περί προστασίας της προστασίας των καταναλωτών της Καλιφόρνια (CCPA) και ο νόμος περί προστασίας δεδομένων της Μασαχουσέτης είναι δύο ισχυρά παραδείγματα. Άλλα κράτη έχουν ήδη θεσπίσει τους δικούς τους νόμους περί προστασίας δεδομένων που ισχύουν για όλες τις επιχειρήσεις. Αυτά τα κράτη περιλαμβάνουν:

• Αρκάνσας
• Κολοράντο
• Κοννέκτικατ
• Φλόριντα
• Ιντιάνα
• Κάνσας
• Μέριλαντ
• Μινεσότα
• Νεβάδα
• Νέο Μεξικό
• Όρεγκον
• το νησί της Ρόδου
• Τέξας
• Γιούτα

Κάθε ένα από αυτά τα κράτη έχει αναπτύξει και υιοθετήσει τους δικούς τους νόμους περί προστασίας δεδομένων που απαιτούν εταιρείες που κατέχουν προσωπικές πληροφορίες καταναλωτών των κατοίκων του κράτους για την προστασία αυτών των πληροφοριών. Έτσι ‘μπολ σαλάτας’ αίνιγμα. Χωρίς συγχώνευση των δυνάμεων των κυβερνών, κάθε κράτος αφήνεται να ενεργεί μόνη της και η συμμόρφωση γίνεται σύγχυση και ασυνεπής.

Γιατί οι πολυεθνικές πρέπει να ενδιαφέρονται για τη συμμόρφωση του GDPR?

Οι θυγατρικές μη ΕΕ που σχετίζονται με μια πολυεθνική επιχείρηση πρέπει να φροντίζουν για το GDPR επειδή πιθανότατα έχουν πελάτες που διαμένουν σε μια χώρα της ΕΕ. Εάν τα δεδομένα των καταναλωτών της ΕΕ που συλλέγουν οι πολυεθνικές κατά τη διάρκεια των συναλλαγών είναι προσβάσιμα από ένα κεντρικό σύστημα σε θυγατρικές σε όλο τον κόσμο, είναι επιτακτική ανάγκη οι εταιρείες αυτές να κατανοήσουν τον τρόπο με τον οποίο οι ροές δεδομένων για να εξασφαλίσουν ότι οι διασυνοριακές μεταφορές δεδομένων συμμορφώνονται με τις απαιτήσεις GDPR.

Ένας άλλος πολύ σημαντικός λόγος για να γίνει η συμμόρφωση με το GDPR προτεραιότητα είναι ότι η μη συμμόρφωση αφήνει πολυεθνικές που υπόκεινται σε σημαντικά διοικητικά πρόστιμα που ορίζονται οι αρχές προστασίας δεδομένων (DPA) έχουν την εξουσία να επιβάλλουν εάν βρίσκουν αιτία. Οι κυρώσεις για τη μη συμμόρφωση του GDPR είναι το τέσσερα τοις εκατό της εταιρείας’S παγκοσμίως ακαθάριστα ετήσια έσοδα ή 20 εκατομμύρια ευρώ. Τέτοιες κυρώσεις ισχύουν ακόμη και αν η υπεύθυνη οντότητα είναι απλώς θυγατρική με λίγους υπαλλήλους, καθιστώντας απαραίτητη την πολυεθνική να διασφαλίσει ότι οι θυγατρικές είναι επί του σκάφους, επίσης.

Επιπλέον, οι DPA διατηρούν την εξουσία για να απαγορεύσουν ή να απαγορεύσουν τις μεταφορές δεδομένων από την ΕΕ στο U.μικρό. Parent Corporation εάν ανακαλύψουν ένα ζήτημα μη συμμόρφωσης.

Είστε μπερδεμένοι σχετικά με τη συμμόρφωση με την ιδιωτική ζωή των δεδομένων?

Μιλήστε με το i.μικρό. Συνεργάτες, LLC. Μπορούμε να βοηθήσουμε τον οργανισμό σας να καθορίσει ποιοι κανονισμοί ισχύουν για τις δραστηριότητές σας και να δημιουργήσουν μια στρατηγική για την επίτευξη πλήρους συμμόρφωσης.