האם ה- GDPR חשוב בארצות הברית

שמירה על עמידה ב- GDPR היא לא רק לטובת הלקוחות שלך אלא לטובת העסק שלך. סיפורי אימה של אי-ציות והפרות נתונים יכולים להיות מלווים בקנסות חסינים. תלוי בגודל העסק שלך, הקנסות יכולים לנוע בין 11 ל 21 מיליון דולר או 2 – 4% מהמחזור הגלובלי השנתי שלך.

GDPR בארצות הברית? החקיקה החדשה של המדינה מקרבת זאת למציאות

הרגולציה הכללית להגנת המידע של האיחוד האירופי (“GDPR”) ידועה כמשפט הפרטיות והביטחון הקשה ביותר בעולם, מכיוון שיש לה טווח הגעה רחב ומטיל קנסות כבדים כנגד אלה שמפרים את תקני הפרטיות והביטחון שלה (שהם רחבים למדי). ההשפעה של ה- GDPR כבר הורגשה בארצות הברית מאז שנכנסה לתוקף בשנת 2018, ועכשיו u.ג. מחוקקים במדינות רבות עוברים לחוקק חקיקות דומות. חוק הגנת הצרכן בקליפורניה (“CCPA”) היה המופע הראשון להשפעת ה- GDPR בארצות הברית, כפי שקליפורניה הציבה חוק ותקנות ששיקפו את ה- GDPR בכמה הבחינות. כעת וירג’יניה קבעה את מה שיכול להיות מחרוזת מדינות של שנה המבקשת חקיקה דומה. בפרט, וושינגטון וניו יורק הציעו חקיקה בעקבות מסגרת ה- CCPA. מאמר זה ישווה את ה- CCPA לחוקי הפרטיות החדשים שנחקקו ומוצעים בארצות הברית.

מעשי פרטיות שנחקקו לאחרונה והציעו:

חוק וירג’יניה שנחקק לאחרונה

ב- 2 במרץ 2021, וירג’יניה העבירה את חוק הגנת המידע לצרכן שלה (“CDPA”), החוק השני המקיף של נתוני צרכנים בארצות הברית. ה- CDPA ייכנס לתוקף ב -1 בינואר 2023. ה- CDPA חל על אנשים או גורמים המנהלים עסקים בווירג’יניה או מייצרים מוצרים או שירותים המוצעים לתושבי וירג’יניה וכי “שליטה או מעבד” נתונים אישיים. החוק חל על עסקים כי (1) שליטה או מעבדים מידע אישי של לפחות 100,000 צרכנים, או (2) לשלוט או מעבדים את הנתונים של לפחות 25,000 תושבי וירג’יניה, שגם הם שואבים 50% או יותר מההכנסות ברוטו ממכירת נתונים אישיים.

ה- CDPA עוקב מקרוב אחר מסגרת ה- CCPA; עם זאת, ישנם כמה הבדלים עיקריים:

• ה- CDPA אינו מכיל זכות פעולה פרטית. במקום זאת, את כל הפעולות חייבות להיות מובאות על ידי היועץ המשפטי לממשלה בווירג’יניה.
• ה- CDPA, כמו ה- CCPA, פוטר נתונים שכבר מוסדרים על ידי חוקים פדרליים רשומים מסוימים, כמו HIPAA, GLBA, FCRA, FERPA ו- COPPA. עם זאת, תחת ה- CDPA, הפטור ב- GLBA הוא רחב יותר מכיוון שהוא פוטר לחלוטין מוסדות פיננסיים, ולא רק נבדקים. נוסף.
• ה- CDPA מכיל דרישת הצטרפות לעיבוד נתונים אישיים רגישים, אלא אם כן פטור.
• ה- CDPA מגדיר את “הצרכן” בצורה צרה יותר מה- CCPA. ה- CDPA לא כולל את אלה הפועלים בהקשר מסחרי או תעסוקתי.
• במסגרת ה- CDPA, “מכירת מידע אישי” מחייב כי התמורה תהיה כספית כדי להעפיל כמכירת נתונים. להפך, ה- CCPA מאפשר כספית או “שיקול יקר אחר.”

חוק וושינגטון הציע

חוק הפרטיות בוושינגטון, הצעת החוק לסנאט 6281 (“WPA”), מוצעת חקיקה המשקפת את ה- CCPA. בדומה ל- GDPR ו- CCPA, ה- WPA מגדיל את זכויות הצרכנים ביחס לנתונים האישיים שלהם ומבטיח שעסקים שקופים לגבי איסוף ועיבוד נתוני צרכנים. בנוסף, ה- WPA מאפשר לצרכנים לבטל את הסכמתם למכירת הנתונים האישיים שלהם. ה- WPA יחול על עסקים שמוצריהם או השירות שלהם מכוונים לצרכנים בוושינגטון אם העסק: (1) שולט או מעבד נתונים של יותר ממאה אלף צרכנים, או (2) שואב לפחות 50% הכנסות ממכירת נתונים אישיים וכן מעבד או שולט בנתונים אישיים של יותר מ- 25,000 צרכנים.

ל- WPA ו- CCPA יש קווי דמיון חשובים כמו: (1) תקופת תרופה של 30 יום; (2) על העסק למחוק את הנתונים האישיים של הצרכן לבקשתם; ו (3) האחריות על העסק להיות פרואקטיבית לספר לצרכן אילו סוגים ספציפיים של מידע אישי העסק אוסף וכיצד משתמשים בנתונים כאלה. עם זאת, ישנם הבדלים חשובים ביניהם:

• ה- WPA מגביל את ההגדרה “נתונים אישיים” למידע לגבי “אדם טבעי שזוהה או זיהוי”, ואילו ההגדרה של CCPA נותרה רחבה וחלה על מידע המקושר ל”צרכן או משק בית מסוים.”
• ה- WPA מקדים במפורש חוקים, תקנות ותקנות מקומיים ביחס לעיבוד נתונים אישיים על ידי בקרים או מעבדים. ה- CCPA לא.
• ה- WPA, בניגוד ל- CCPA, אינו כולל דרישת סף הכנסות.
• ה- WPA, בניגוד ל- CCPA, מקיף הוראה “אפליה” שמונעת מעסקים לקבל החלטות אוטומטיות סופיות.
• ה- WPA מגביל כיצד ניתן להשתמש בטכנולוגיית זיהוי פנים כאשר ל- CCPA אין הוראה דומה. (התחייבויות הכרת הפנים החדשות על חברות המשתמשות בהכרת פנים, אם יחקקו, יעלו על ההתחייבויות הנוכחיות שעומדות בפני חברות על פי חוק הפרטיות הביומטרית בוושינגטון (RCW 19.375).)

החוק המוצע בניו יורק

מבין כל חקיקת הפרטיות המוצעת, חוק הפרטיות של ניו יורק (S5642) (“NYPA”) הוא ככל הנראה הצפוי ביותר מכיוון ששפתו הרבה

האם ה- GDPR חשוב בארצות הברית

שמירה על ציות ל- GDPR אינה רק בלקוחות שלך’ האינטרסים הטובים ביותר אך בעסק שלך’האינטרס הטוב ביותר. סיפורי אימה של אי-ציות והפרות נתונים יכולים להיות מלווים בקנסות חסינים. תלוי בגודל העסק שלך, הקנסות יכולים לנוע בין 11 ל 21 מיליון דולר או 2 – 4% מהמחזור הגלובלי השנתי שלך.

GDPR בארצות הברית? החקיקה החדשה של המדינה מקרבת זאת למציאות

האיחוד האירופי’S רגולציה כללית להגנת נתונים (“GDPR”) ידוע בשם חוק הפרטיות והביטחון הקשה ביותר בעולם, מכיוון שיש לו טווח הגעה רחב ומטיל קנסות כבדים כנגד אלה שמפרים את תקני הפרטיות והביטחון שלה (שהם די רחבים). ההשפעה של ה- GDPR כבר הורגשה בארצות הברית מאז שנכנסה לתוקף בשנת 2018, ועכשיו u.ג. מחוקקים במדינות רבות עוברים לחוקק חקיקות דומות. חוק הגנת הצרכן בקליפורניה (“CCPA”) היה המופע הראשון של ה- GDPR’ההשפעה של ארצות הברית, כפי שקליפורניה הציבה חוק ותקנות ששיקפו את TheGDPR בכמה הבחינות. כעת וירג’יניה קבעה את מה שיכול להיות מחרוזת מדינות של שנה המבקשת חקיקה דומה. בפרט, וושינגטון וניו יורק הציעו חקיקה בעקבות מסגרת ה- CCPA. מאמר זה ישווה את ה- CCPA לחוקי הפרטיות החדשים שנחקקו ומוצעים בארצות הברית.

מעשי פרטיות שנחקקו לאחרונה והציעו:

חוק וירג’יניה שנחקק לאחרונה

ב- 2 במרץ 2021, וירג’יניה העבירה את חוק הגנת המידע לצרכן שלה (“CDPA”), חוק פרטיות נתוני הצרכן השני בארצות הברית. ה- CDPA ייכנס לתוקף ב -1 בינואר 2023. ה- CDPA חל על אנשים או גורמים המנהלים עסקים בווירג’יניה או מייצרים מוצרים או שירותים המוצעים לתושבי וירג’יניה וזה “שליטה או תהליך” מידע אישי. החוק חל על עסקים כי (1) שליטה או מעבדים מידע אישי של לפחות 100,000 צרכנים, או (2) לשלוט או מעבדים את הנתונים של לפחות 25,000 תושבי וירג’יניה, שגם הם שואבים 50% או יותר מההכנסות ברוטו ממכירת נתונים אישיים.

ה- CDPA עוקב מקרוב אחר מסגרת ה- CCPA; עם זאת, ישנם כמה הבדלים עיקריים:

• ה- CDPA אינו מכיל זכות פעולה פרטית. במקום זאת, את כל הפעולות חייבות להיות מובאות על ידי היועץ המשפטי לממשלה בווירג’יניה.
• ה- CDPA, כמו ה- CCPA, פוטר נתונים שכבר מוסדרים על ידי חוקים פדרליים רשומים מסוימים, כמו HIPAA, GLBA, FCRA, FERPA ו- COPPA. עם זאת, תחת ה- CDPA, הפטור ב- GLBA הוא רחב יותר מכיוון שהוא פוטר לחלוטין מוסדות פיננסיים, ולא רק נבדקים. בנוסף, ישנם פטורים מבוססי נתונים לחוק דיווח האשראי ההוגן, הנהג’חוק הגנת הפרטיות, וחוק זכויות ופרטיות הפדרליות לחינוך, וארגונים ללא מטרות רווח.
• ה- CDPA מכיל דרישת הצטרפות לעיבוד נתונים אישיים רגישים, אלא אם כן פטור.
• ה- CDPA מגדיר “צרכן” בצורה צרה יותר מה- CCPA. ה- CDPA לא כולל את אלה הפועלים בהקשר מסחרי או תעסוקתי.
• מתחת ל- CDPA, “מכירת מידע אישי” דורש שהשיקול יהיה כספי כדי להעפיל כמכירת נתונים. להפך, ה- CCPA מאפשר כספי או “שיקול יקר אחר.”

חוק וושינגטון הציע

חוק הפרטיות בוושינגטון, הצעת החוק לסנאט 6281 (“WPA”), מוצעת חקיקה המשקפת את ה- CCPA. כמו ה- GDPR ו- CCPA, ה- WPA מגדיל את הצרכנים’ זכויות ביחס לנתונים האישיים שלהם ומבטיחים שעסקים שקופים לגבי איסוף ועיבוד נתוני צרכנים. בנוסף, ה- WPA מאפשר לצרכנים לבטל את הסכמתם למכירת הנתונים האישיים שלהם. ה- WPA יחול על עסקים שמוצריהם או השירות שלהם מכוונים לצרכנים בוושינגטון אם העסק: (1) שולט או מעבד נתונים של יותר ממאה אלף צרכנים, או (2) שואב לפחות 50% הכנסות ממכירת נתונים אישיים וכן מעבד או שולט בנתונים אישיים של יותר מ- 25,000 צרכנים.

ל- WPA ו- CCPA יש קווי דמיון חשובים כמו: (1) תקופת תרופה של 30 יום; (2) העסק חייב למחוק צרכן’נתונים אישיים לבקשתם; ו (3) האחריות על העסק להיות פרואקטיבית לספר לצרכן אילו סוגים ספציפיים של מידע אישי העסק אוסף וכיצד משתמשים בנתונים כאלה. עם זאת, ישנם הבדלים חשובים ביניהם:

• ה- WPA מגביל את “מידע אישי” הגדרה למידע לגבי “אדם טבעי מזוהה או ניתן לזהות,” ואילו הגדרת CCPA נותרה רחבה וחלה על מידע המקושר ל- “צרכנים או משק בית מסוימים.”
• ה- WPA מקדים במפורש חוקים, תקנות ותקנות מקומיים ביחס לעיבוד נתונים אישיים על ידי בקרים או מעבדים. ה- CCPA לא.
• ה- WPA, בניגוד ל- CCPA, אינו כולל דרישת סף הכנסות.
• ה- WPA, בניגוד ל- CCPA, מקיף א “אַפלָיָה” אספקה ​​שמונעת מעסקים לקבל החלטות אוטומטיות סופיות.
• ה- WPA מגביל כיצד ניתן להשתמש בטכנולוגיית זיהוי פנים כאשר ל- CCPA אין הוראה דומה. (התחייבויות הכרת הפנים החדשות על חברות המשתמשות בהכרת פנים, אם יחקו, יעלו על ההתחייבויות הנוכחיות שעומדות בפני חברות תחת וושינגטון’S חוק פרטיות ביומטרי (RCW 19.375).)

החוק המוצע בניו יורק

מכל חקיקת הפרטיות המוצעת, חוק הפרטיות של ניו יורק (S5642) (“ניפה”) ככל הנראה הוא הצפוי ביותר מכיוון ששפתו נועזת בהרבה מה- CCPA. ה- NYPA חל באופן נרחב על “ישויות משפטיות המנהלות עסקים בניו יורק או מייצרים מוצרים או שירותים שממוקדים בכוונה לתושבי ניו יורק.” עם שפה כה רחבה, נראה כי ה- NYPA מותאם כדי להגיע לכמה שיותר עסקים תוך השמטת שפת סף הכנסות כפי שנראה ב- CCPA.

אף על פי שה- NYPA יכול להשתנות לפני שנחקק, שפתו הנוכחית יוצאת מ- CCPA בשני אופנים:

• השינוי הגדול ביותר הוא שעסקים יידרשו לפעול כמו “נאמני נתונים.” החוק המוצע קובע כי “כל גורם הגובה, מוכר או רישיון מידע אישי של הצרכנים יפעל את חובת הזהירות, הנאמנות והסודיות הצפויה לאמון ביחס להבטיח את הנתונים האישיים של צרכן כנגד סיכון פרטיות.” התחייבות זו תעשה זאת “החלף כל חובה המגיעה לבעלים או לבעל מניות” של ישות.
• ה- NYPA אינו מכיר בהסכמה משתמעת. בניגוד ל- CCPA, שמכיר בהסכמה מרומזת, ה- NYPA תחייב עסקים להפגין כי הם השיגו הסכמה ברורה ופרואקטיבית מצד הצרכנים במידת הצורך.

Takeaway הראשי

ה- GDPR’ההשפעה של ארצות הברית נמצאת כאן, ונראה כאן להישאר ככל שמדינות נוספות עוקבות אחר כך. עם שני חוקי פרטיות גדולים על כל חוף וריאציות הפזורות לבין, לא ברור אם הקונגרס בסופו של דבר יעביר חוק פדרלי כדי ליצור אחידות מסוימת. עד אז, כאשר חקיקה חדשה מפוצצת חברות ועסקים צריכים להישאר מעודכנים כדי להגן על עצמם מפני פעולה רגולטורית ותביעות פוטנציאליות.

האם ה- GDPR חשוב בארצות הברית?

אנשים ועסקים משני צידי האוקיאנוס האטלנטי עשויים להרגיש שמכיוון שהתקנה הכללית להגנת המידע היא חקיקה של האיחוד, היא חל רק על מדינות האיחוד האירופי. עם זאת, הפרשנות הפגומה.

האמת היא שה- GDPR’יישום S הוא יותר על WHO אתה מכוון לא איפה העסק שלך מבוסס. אז אם אתה’אתה עסק מבוסס ארה”ב עם לקוחות האיחוד האירופי, אתה’אני צריך לשים לב – ולציית לו – ה- GDPR. כמה עסקים בארה”ב עדיין צריכים להיות משוכנעים בנקודה זו.

בריטניה לעומת חוקי פרטיות בנתונים בארה”ב

ה- GDPR חל כמעט על כל מי שמטפל בנתונים אישיים באיחוד האירופי, או המטפל בנתונים האישיים של אנשים באיחוד האירופי.

לעומת זאת, לארה”ב אין חוק פרטיות נתונים בודדים עם יישום רחב לא פחות. מצאנו מגוון של חוקים פדרליים ומדיניים הסורגים יחד כדי ליצור משטר הגנת נתונים חלקית, כאשר מגזרים מסוימים (כמו בריאות) הם המוקד העיקרי. גישה זו יכולה להקשות על הציות, מכיוון שתקני הגנת המידע הנדרשים משתנים ממדינה למדינה.

אולי באופן לא מפתיע, מצאנו שהסטנדרט הנדרש על ידי ה- GDPR הספיק בדרך כלל כדי לספק את הסטנדרטים הנדרשים גם על ידי החוקים האמריקניים הרלוונטיים.

מה’s שונה?

ה- GDPR מספק הגדרה אוניברסלית של “מידע אישי”; המונח המקביל בארה”ב הוא “מידע המאפשר זיהוי אישי”, ומה שמרכיב PII משתנה בהתאם לחוק המדינה. לדוגמה, נתונים פיננסיים ומספרי ביטוח לאומיים בבריטניה אינם נתפסים כ- “רָגִישׁ” מבחינת ההגדרה המשפטית הקפדנית, אך נתונים פיננסיים ומספר ביטוח לאומי נחשבים לרוב רגישים בחקיקת הפרטיות בארה”ב.

ה- GDPR מבוסס על הרעיון שצריך להגן על נתונים אישיים ואנשים צריכים להיות בעלי שליטה על אופן השימוש בנתונים שלהם. זכויות אלה כוללות את הזכות למחיקה, ניידות נתונים, למשוך הסכמה, לתקן נתונים לא מדויקים, גישה, הגבלה והתנגדות.

נבדקים’ הזכויות בארה”ב מוגבלות בהרבה. למרות שהחוק בארה”ב מבהיר כי יש לספק מידע מסוים לנבדקי הנתונים בנקודה בה נאספים הנתונים האישיים שלהם, בדרך כלל אין זכויות גישה נוספות בנושא נבדק, או הזכות למחיקה. זכויות הנבדק המוגבלות שנמצאות במקום קשורות לילדים’נתוני S, כמו הילדים’החוק המקוון להגנת פרטיות, המאפשר להורים להציג את המידע האישי שנאסף על ידי אתר על ילדם, ולמחוק ולתקן את המידע הזה.

חוק פרטיות הצרכנים החדש בקליפורניה מציג זכויות שונות לתושבים בקליפורניה – ומאפשר להם להבין כיצד משתמשים בנתונים שלהם, למחוק אותם ולבטל את הסכמתם לעסק היכולת למכור את המידע שלהם.

במסגרת ה- GDPR, העברות של נתונים אישיים מחוץ ל- EEA מוגבלים – בעיקר כדי להבטיח שזכויות הנתונים העומדות לרשות יחידים יתקיימו’לא התערער מכיוון שמשתמשים בספק בינלאומי. פירוש הדבר בדרך כלל שהעברות בינלאומיות של נתונים אישיים יהיו כפופים למגן הפרטיות של האיחוד האירופי-ארה”ב, לסעיפים חוזיים של המודל או לכללי תאגיד מחייבים.

לעומת זאת, יש מעט גבולות להעברת נתונים אישיים מחוץ לארה”ב שהוטלו על ידי החוק בארה”ב. אמנם חוקים ותקנות ארה”ב אכן ממשיכים לחול על נתונים לאחר שעזבה את ארה”ב, אך אלה מתמקדים בעיקר בהבטחת הגורמים בארה”ב להישאר אחראים לנתונים.

ה- GDPR האריך את העונשים המרביים על הפרות הגנת המידע ל -20 מיליון אירו או 4% מהמחזור העולמי השנתי, מהגבוה ביותר. לעומת זאת, ה- FTC (נציבות הסחר הפדרלית) מאפשר קנסות של עד 16,000 דולר לעבירה.

מה’זה לא כל כך שונה?

לא צריך’אנחנו פשוט מקבלים הסכמה לכל דבר?

איסוף הסכמה נתפסת לעתים קרובות כדרך פשוטה להימנע מפירוט של נוהלי נתונים בפירוט. לתת’פשוט קבל את הנושא’הסכמה ל הכל, ימין? לא בסדר.

הסכמה היא אחת משש הדרכים בהן תוכלו לגיטימציה לטיפול בטיפול בנתונים אישיים, אך הם לא היחידים, ולעתים קרובות מנוצלים יתר על המידה. גם חוקי ה- GDPR וגם חוקי הגנת המידע בארה”ב מתיישרים כאן – אתה לא’לא צריך הסכמה לכל דבר.

באיחוד האירופי, בקרי נתונים חייבים להודיע ​​על סמכות הפיקוח הלאומית שלהם אם יש הפרה של אבטחת מידע ובמצבים מסוימים, בקרי הנתונים יצטרכו להודיע ​​גם לנבדק הנתונים. התראות על הפרות נתונים נדרשות גם בארצות הברית, בהן 48 מתוך 50 מדינות חוקקו כעת את חוקי ההודעות על הפרת אבטחה.

שווה ערך לארה”ב: כיצד ארה”ב והאיחוד האירופי משווים על חוקי פרטיות הנתונים

אם אתה’VE ביקר באתר או בדק את הדוא”ל שלך בשנים האחרונות, אתה’ללא ספק מכיר את GDPR. חברות שמודיעות לך על עדכוני מדיניות פרטיות ואתרי אינטרנט המבקשים ממך לנהל את העדפות העוגיות שלך הן רק דרכים בהן אנו חווים את ההשפעה של חוק פרטיות הנתונים של ציון הדרך.

למרות היותה מגויסת ואומצה על ידי האיחוד האירופי, ל- GDPR יש השלכות גלובליות. מעבר להשפעה על האופן בו העסק שלך מנהל סיכויים ונתוני לקוחות, המדיניות המקיפה המשיכה להשפיע על חוקי פרטיות הנתונים ברחבי העולם – כולל בארצות הברית. אמנם אין מקבילה של GDPR בארה”ב ברמה הפדרלית, אולם מדינות אינדיבידואליות, כמו קליפורניה, יישמו מדיניות דומה.

להישאר על גבי דרישות הרגולציה המקומיות, הפדרליות והבינלאומיות חיוניות לעסק שלך להישאר תואם ולהימנע מקנסות חסינים.

סקירה קצרה של GDPR

התקנה הכללית להגנת המידע (GDPR), שנחקק על ידי האיחוד האירופי (האיחוד האירופי) בשנת 2016, היא תקנה מקיפה הקובעת את הסטנדרטים לרכישה, ניהול ועיבוד של הנתונים האישיים של אזרחי האיחוד ותושביהם. במסגרת GDPR, נתונים אישיים הם כל מידע המקשר לאדם טבעי שניתן לזהות או “נושא נתונים.”

המרכיב החשוב ביותר ב- GDPR הוא שהתקנה לא מכתיבה שום ארגון לא יכול לאסוף, לאחסן או להשתמש בנתונים אישיים ללא הסכמה מפורשת של הנבדק.

הספקטרום הרחב של מידע המאפשר זיהוי אישי (PII)

בניגוד לחוקי הגנת המידע הדומים בארה”ב, המגבילים נתונים מוסדרים למידע פיננסי או בריאותי, GDPR מגן ומסדיר מגזרי מידע שונים שניתן לקשור לנושאים, כולל מידע על מיקום, כתובות IP ונתוני עוגיות. הכל תחת המטריה של מידע המאפשר זיהוי אישי, אם העסק שלך אוסף או מעבד מידע זה, כגון באמצעות טפסים לכידת עופרת או פיקסלים פרסום, אתה’אחראי מחדש לעמידה ב- GDPR.

ההשפעה של אי-ציות

שמירה על ציות ל- GDPR אינה רק בלקוחות שלך’ האינטרסים הטובים ביותר אך בעסק שלך’האינטרס הטוב ביותר. סיפורי אימה של אי-ציות והפרות נתונים יכולים להיות מלווים בקנסות חסינים. תלוי בגודל העסק שלך, הקנסות יכולים לנוע בין 11 ל 21 מיליון דולר או 2 – 4% מהמחזור הגלובלי השנתי שלך.

מה המשמעות של GDPR עבור עסקים בארה”ב?

אנו יודעים של- GDPR יש השפעות מרחיקות לכת, כולל על עסקים בארצות הברית. אמנם זה יכול להיות קל להתעלם מדרישות ה- GDPR אם אתה נמצא’עם חברה רב לאומית, היית נזהר שלא. גם אם אתה לא’לא מתכוון לאסוף נתונים או למכור לתושבי האיחוד האירופי, אם הנכסים הדיגיטליים שלך, כולל אתרים, מושכים מבקרים מהאיחוד.

נניח שמבקר ממדינה חברה באיחוד האירופי מגיע לאתר שלך ומנוי לבלוג שלך או מוריד נייר מחקר. מאמצי המיקוד מחדש שלך באמצעות פרסום של גוגל או לינקדאין עשויים להפיל פיקסל מעקב בדפדפן שלהם. המשתמש הזה הוא כעת נושא נתונים, ואתה’התחילו לעבד את הנתונים שלהם.

עם שפע התרחישים הזמינים לאיסוף נתונים רגישים, להישאר על שיטות העבודה המומלצות לתאימות GDPR חיוני לעסקים בארה”ב. אך מעבר לדרישות הרגולציה, ל- GDPR יש השפעה נוספת על חקיקת הפרטיות ברחבי העולם, כולל בארצות הברית.

מומלץ עבורך

מהם נתונים המאפשרים לזהות באופן אישי?

הבנת מה מגדיר נתונים המאפשר זיהוי אישי תעזור לך להעריך אם GDPR חל על העסק שלך.

האם לארה”ב יש חוקים דומים להגנת נתונים?

בעוד שהחוק הפדרלי טרם התייחס לאבטחת נתונים ועיבוד נתונים במידה של GDPR, חוקי המדינה משמשים כקבוצות GDPR בארצות הברית. נכון לשנת 2022, חמש מדינות, כולל יוטה, קולורדו, וירג’יניה, קונטיקט וקליפורניה, כולן כוללות חוק פרטיות צרכניות כלשהי. בינתיים, יותר מ -15 מדינות שוקלות חקיקה דומה משלהן.

הגנה על נתוני תושבי קליפורניה

חוק פרטיות הצרכנים בקליפורניה (CCPA), שהועבר בשנת 2018, היה הראשון בארצות הברית כתגובה ל- GDPR והפרות פרטיות נתונים במדינה. הוא מתהדר בתקנות הגנת נתונים דומות, אם כי יש להודות בקנה מידה סופי.

• מידע אישי לעומת. מידע אישי: למרות שלעתים קרובות משמש להחלפה, CCPA מתייחס ומגן באופן ספציפי מידע אישי שניתן לקשר באופן סביר לא צרכן בקליפורניה
• צרכנים לעומת. נבדקים: בעוד ש- GDPR מגן על כל הנבדקים המתגוררים באיחוד (כולל אזרחי ארה”ב), היקף CCPA מוגבל למידע של תושבי קליפורניה, וביתר דיוק, צרכנים
• עסקים למטרות רווח לעומת. מעבדי נתונים: CCPA מסדיר חברות ספציפיות למטרות רווח המטפלות בנתוני הצרכנים בקליפורניה, ואילו GDPR מספקת הנחיות רגולטוריות עבור כל ארגון במדינות החברות באיחוד האירופי ומחוצה לו כי מעבד נתונים, כולל חברות רב לאומיות
• פיקוח חובה: בעוד ש- GDPR מחייב את שכירתו של קצין הגנת נתונים (DPO) לפקח על תאימות ולשמש כקשר למטרות ביקורת, ל- CCPA אין דרישה כזו לפיקוח

בינואר 2023 נכנס לתוקף חוק זכויות הפרטיות בקליפורניה (CRPA), תיקון ל- CCPA,. זה הועבר לדרישות, זכויות ואכיפה חדשות למנגנוני CCPA כולל הגדרה ברורה על מי מושפע מהחקיקה וההגנות עבור “מידע אישי רגיש.” באופן ספציפי:

• הרחבת סף העסקים מאלו שקונים, מוכרים או שותפים את המידע האישי של 50,000 תושבים ל 100,000 ומעלה
• מגדירה קטגוריה חדשה של מידע אישי רגיש ככלל כלול מזהים שהונפקו על ידי הממשלה, מידע על מימון, נתוני מיקום גיאוגרפי, כמו גם דמוגרפיה כמו גזע, דת ועוד

ברמה גבוהה, שתי המדיניות מאפשרות לאנשים בהירות רבה יותר לשליטה על הנתונים האישיים שלהם ועיבוד נתונים כאלה. לגבי GDPR, נתונים בריאותיים ופיננסיים נופלים תחת המטריה הגדולה יותר של מידע המאפשר זיהוי אישי. בארצות הברית נתונים דומים מוסדרים בהרחבה באמצעות חוקים פדרליים מרובים.

שמירה על נתוני בריאות המטופלים

חוק ניידות וחשבון אחריות לביטוח בריאות (HIPAA), שהועבר בשנת 1996, מסדיר מידע בריאותי מוגן (PHI). ארגונים המטפלים ב- PHI, כולל “ישויות מכוסות” בדומה לספקי שירותי בריאות או מקורבים לעסקים כמו חיוב או חברות EHR, אחראים לעמוד בתקנות HIPAA. אם העסק שלך ממנף או מעבד רישומי מטופלים, מידע תשלום, נתונים ביומטריים או מידע על תוכנית בריאות, אתה’ככל הנראה כפוף לעמידה ב- HIPAA.

ויסות תשלומים ועסקאות כרטיסי אשראי

בינתיים, חוק Gramm-Leach-Bliley (GLBA), שנחקק בשנת 1999, מחייב מוסדות פיננסיים להעניק לאנשים גישה ושקיפות רבה יותר לשימוש בנתונים האישיים שלהם. שמירה על תאימות GLBA כוללת תקשורת כיצד נתונים רגישים כמו לקוח’S שם, כתובת, מספר טלפון או חשבון וחשבון וביטוח לאומי מטופלים ומשותפים. בדומה ל- CCPA ו- CPRA ו- GDPR, המוסדות צריכים להציע את ההזדמנות לבטל את הסכמתם לנתונים שלהם המשותפים עם צדדים שלישיים.

בדומה ל- CCPA ו- GDPR, אי ציות עם HIPAA ו- GLBA יכול להשפיע באופן משמעותי על מוסד, כאשר קנסות עבירים למעלה מ 100,000 $ עבור GLBA או 50,000 $ עבור HIPAA. עבירות חוזרות על HIPAA יכולות להגדיל קנסות של עד 250,000 $, ומספקים תמריץ ברור לשמירה על תאימות.

הקמת זכויות עם סוכנויות ממשלת ארה”ב

מכיוון ש- CCPA מסדיר ארגונים למטרות רווח, זה’s מוגבל בעיקר לנתונים ממונפים למטרות מסחריות. חוק הפרטיות משנת 1974 אכן מסדיר כיצד המגזר הציבורי מנהל את הנתונים שלך.

חוק פרטיות, שנוסח בתגובה להופעת מסדי נתונים ומחשבים שיכולים לאחסן שפע של מידע, מנחה סוכנויות פדרליות בנושא הגנת נתונים, תחזוקה והפצה. המעשה מעניק לארבע זכויות שיש לאזרחים בארה”ב בנוגע לנתונים האישיים שלהם:

1. סוכנויות נדרשות לשתף רשומות שנשמרו על אדם כאשר מתבקשים
2. סוכנויות חייבות לעקוב אחריה “נוהלי מידע הוגנים,” המגדירים את היקף ואיכות סוכנויות הנתונים יכולים לאסוף ולנהל באופן סביר.
3. סוכנויות חייבות לדבוק בהנחיות מגבילות לשיתוף נתונים אישיים בין סוכנויות או עם אנשים אחרים.
4. ניתן לתבוע סוכנויות בגין הפרת כל הזכויות לעיל.

זה’חשוב לציין כי חוק הפרטיות אינו מקיף. סוכנויות ממשלתיות האחראיות לאכיפת החוק, כמו הלשכה הפדרלית לחקירות (FBI) וסוכנות הביון המרכזית (CIA), פטורים מהחקיקה. בנוסף, המעשה מעניק “שימוש שגרתי” ופטורים אחרים כמו לשימוש במפקד ארה”ב.

מה העתיד מחזיק בחוקי הגנת המידע בארצות הברית?

לגבי המקבילה של GDPR בארצות הברית, הגנת המידע היא יותר סכום של חלקיו מאשר גישה מקיפה. חקיקה כמו חוק פרטיות הצרכן בקליפורניה או חוק הגנת המידע של וירג’יניה ממלאת צרכים דומים לחוקי פרטיות בגבולות מדינות בודדות.

קיומם של העברות נתונים חוצה גבולות וכלכלה גלובלית מניעה את הצורך של חברות אמריקאיות נוספות כדי להשיג ציות ל- GDPR, אך זה’אין דרישה אוניברסלית.

ארצות הברית’ גישה למדיניות הגנת נתונים ושקיפות הייתה טלאים במהלך השנים האחרונות. עם זאת, 2022 חלו קנסות משמעותיים שהוטלו על ידי ועדת הסחר הפדרלית באמצעות הפרות פרטיות ומאמצים מחודשים מהקונגרס ליצור מדיניות לאומית מגובשת בנושא פרטיות נתונים.

ועדת הסחר הפדרלית נכנסת להפרת ציות

באופן ספציפי, ה- FTC הורה למשחקי EPIC לשלם קנסות של יותר מ -500 מיליון דולר בגין הפרת הילדים’חוק הגנת פרטיות מקוון (COPPA) באמצעות עיצוב ממשק משתמש מטעה או “דפוסים כהים” זה הניע אלפי רכישות לא מכוונות והחלטות פרטיות שהתקבלו על ידי ילדים ובני נוער.

יתר על כן, קואליציה של למעלה מ -40 עורכי דין הכללי הגיעה להסדר ציוני דרך עם גוגל צפונית ל -350 מיליון דולר על עיבוד נתוני המיקום שלהם. ההחלטות מסמנות רגע פרשת מים בהסדרת אבטחת המידע בארה”ב וכיצד ניתן להחזיק חברות אחראיות כלכליות להפרה של חוקי פרטיות ספציפיים.

חוק פרטיות נתונים מקיף עלול לדיון

ההשפעה של החקיקה הקיימת חידשה שיחות מחודשות על שווה ערך מקיף ל- GDPR בארצות הברית. בשנת 2022 עברה חוק פרטיות והגנה על נתונים אמריקאים (ADPPA) דרך ועדת הקונגרס עם תמיכה דו -מפלגתית. אך מעולם לא הובא להצבעה על רצפת בית הנבחרים. הצעת החוק תעלה את חוק פרטיות הצרכן בקליפורניה ונשארת אפשרות לדיון והחלטה בשנת 2023.

כיצד לתת דין וחשבון על חוקי פרטיות נתונים שונים

ההשפעה של אי-ציות ISN’לא מוגבל לקנסות ועונשים פליליים. השפעת הלקוח של הפרות נתונים מתנשאות גדולות, ושמירה על אמונם יכולה לרוב תלויה על החברה שלך’היכולת לשמור על המידע שלהם.

עם כל כך הרבה הנחיות משפטיות, פרוטוקולים ותקנות לעקוב, כיצד העסק שלך יכול להקדים את עקומת אבטחת המידע?

ביצוע שכירים נכונים לצוות שלך

במקרים מסוימים, הדרך קדימה די פשוטה. בהתאם לעסק שלך, GDPR עשוי לדרוש שכירת קצין להגנת נתונים או DPO. האחריות של DPO כוללת חינוך עובדים על ציות ונתונים וביצוע ביקורת אבטחה רגילה. ה- DPO משמש גם נקודת קשר ראשונית לגישה לנתוני החברה לביקורת או אחרת.

קציני הגנה על נתונים ושכירות אבטחה ותאימות אחרות חיוניות כדי להבטיח שהעסק שלך יכול לפקח על הנוף המשתנה ללא הרף של חוק אבטחת המידע. עם נראות ברורה בעסק שלך’ נוהלי נתונים ואבטחת מידע, תפקידים כאלה יכולים לפקח בצורה חלקה יותר, לייעץ ולשמור על תנוחת הציות שלך.

עבודה עם בן זוג

בעוד ששכירת חברי צוות כדי לפקח ולקבוע את ההשפעה העסקית של מגמות אלה עשויה להיות לא בהפעלה שלך’מפת דרכים, עליך להעריך ברציפות כיצד לגשת לאבטחה לשלב הספציפי שלך. זה אומר להיות מודע לבסיס האבטחה שלך, לכלים ולנהלי נתונים כדי להבין כיצד שינויים בתאימות הרגולטורית עשויים להשפיע על הפעילות העסקית שלך.

לא בטוח מאיפה להתחיל? התחל בשיחה עם אחד המומחים שלנו.

חקור יותר תוכן

האם העסק שלך מטפל בנתונים המאפשרים לזהות באופן אישי?

למידע נוסף על היקף ה- GDPR בכל הנוגע לנתונים המאפשרים לזהות באופן אישי ומה זה יכול להיות לעסק שלך.

שתף פוסט זה עם הרשת שלך:

האם ה- U.ג. לאמץ חוק פרטיות נתונים בפריסה ארצית הדומה ל- GDPR?

שמעת את השאלה, “האם אמריקה היא כור היתוך או קערת סלט?” לתת’החל את הרעיון הזה על חוקי פרטיות הנתונים. היום, ב- U.ג. אין חוק פרטיות נתונים לאומי עקביים. במקום זאת עסקים מנסים להבין את א ‘סלט מעורבב’ של תקנות וחוקים שונים שנאכפים על ידי מדינות בודדות וגופים רגולטוריים מבוססי תעשיה.

הצורך בחוקי פרטיות נתונים בפריסה ארצית

כאשר הטכנולוגיה ממשיכה להתפתח ולהשפיע על כל כך הרבה היבטים בחיינו, הסביבה הדיגיטלית באמת דורשת מסגרת כללית להבטיח ואכיפת פרטיות נתונים.

ביטול בלבול וחוסר יעילות

עסקים כיום אינם פועלים בגבולות. ספקים, ספקים, לקוחות ומקורבים עסקיים כולם פועלים למתיחת פעולות על גבולות ממלכתיים ובינלאומיים. לעתים קרובות, הם גם פועלים או מסתמכים על עסקים בתעשיות מרובות. הצורך לנווט תקנות שונות של תקנות הפדרליות, הממלכתיות והתעשייתיות יוצרים בלבול וחוסר יעילות לגופים, שמאים וגופים רגולטוריים.

הימנע מנטל ציות מוגזם

באופן דומה, עם מספר סטנדרטים בתוקף, תהליך הדיווח והתאימות דורש יותר זמן, מאמץ וכסף מגורמים.

מכיוון ש- GDPR הגיע למקום הראשון (למעשה מאז מאי 2018), חברות אמריקאיות ורב -לאומיות רבות כבר עשו את המאמץ להגיע לציות GDPR ולהמשיך לעסקים עם הלקוחות האירופיים שלהן. על מנת למנוע נטל ציות נוסף, u.ג. חקיקת פרטיות נתונים צריכה לנסות להישאר קרוב לתקן שכבר קבע על ידי GDPR.

שמור על התקנות להתיישן

U.ג. חוקים לפרטיות נתונים שנמצאים כעת על הספרים נכתבו בעבר ונועדו לווסת סביבה אחרת. כעת, אנו זקוקים לתקנות גמישות מספיק כדי לטפל בטכנולוגיה מתפתחת ועדיין יש להחיל בעתיד.

לחזק את הגנות הפרטיות

פערים וחפיפות הם תוצאה טבעית של תקנות מרובות. במקרים מסוימים הם אפילו מתנגשים זה עם זה. עם זאת, בעידן בו נתונים אישיים פגיעים יותר ויותר, ההגנה על הפרטיות היא קריטית מתמיד. התקנות צריכות להיות מקיפות וברורות – המכסים את כל סוגי המידע האישי בכל הצורות – על מנת לספק את רמת ההגנה החזקה ביותר האפשרית.

U.ג. חוקי פרטיות נתונים

אין חוק פרטיות נתונים פדרליים כמו GDPR בארצות הברית. ישנם כמה חוקים לאומיים שנקבעו כדי להסדיר את השימוש בנתונים בענפים מסוימים.

• 1974 – ה U.ג. חוק פרטיותהמתווה זכויות ומגבלות ביחס לנתונים המוחזקים על ידי סוכנויות ממשלת ארה”ב.
• 1996 – ביטוח בריאות הטלטלות דין וחשבון Act (HIPAA) המסדיר את הפרטיות והביטחון בענף הבריאות.
• 1999 – מעשה גראם-ליץ ‘-בלילי (GLBA) השולט כיצד הצרכנים’ מידע על פרטיות לא ציבורי נאסף ומשמש בתעשייה הפיננסית.
• 2000 – יְלָדִים’חוק הגנת פרטיות מקוונת (COPPA) עשה צעד ראשון בוויסות מידע אישי שנאסף מקטינים. החוק אוסר באופן ספציפי על חברות מקוונות לבקש PII לילדים 12 ומטה אלא אם כן שם’S הסכמת הורים הניתנת לאמת.

עכשיו אנו מוצאים את עצמנו בשנת 2020. וכעת הייתה התקדמות משמעותית לקראת מסגרת אחידה – ברחבי מדינות ותעשיות – של שיטות עבודה מומלצות לפרטיות נתונים מזה 20 שנה. ה- FTC היה הכוח המנחה היחיד בעונש על קונגלומרטים של טק ומדיה חברתית שהטעו משתמשים כיצד נאספים הנתונים שלהם ונמכרים לצדדים שלישיים.

אבל קנסות אינם סוג של רגולציה יעילה והם לא’לא לעזור לחברות להבין וליישם שיטות עבודה מומלצות. מה’S הדרוש הוא מסגרת המנחה ישויות בפיתוח מדיניות ושיטות פרטיות של נתונים יעילים – מהיסוד. לא רק הפרות מענישות – מלמעלה למטה. כי האמת היא, אנו עשויים כאן למקרים המעורבים בפייסבוק וגזום, אך כמה מקרים אחרים של ביטחון לא יעיל לא מתבגרים?

ההבדל בין u.ג. וחוקי פרטיות נתוני האיחוד האירופי

אנחנו יכולים’לא לעשות השוואה הוגנת מכיוון שאין’t (עדיין) a u.ג. שווה ערך ל- GDPR. בעיקרו של דבר, האיחוד האירופי מכבד את הפרטיות כזכות יסודית של אזרחים. GDPR היא מסגרת מקיפה להגנה על נתונים אישיים שנועדה לשמור על זכויות אלה. היא שולטת בחברות הפועלות במדינות החברות באיחוד וכן בגורמים בינלאומיים המופיעים עם תושבי האיחוד האירופי.

כמה תקנות המוצעות כוללות את חוק הפצת הנתונים האמריקני, חוק הגנת המידע לצרכן וחוק טיפול בנתונים. עם זאת, בשלב זה, שום הצעה לא צברה מספיק תמיכה בקונגרס כדי להפוך לחוק חדש.

החוק הלאומי הקרוב ביותר במרץ יהיה ללא ספק HIPAA אשר הונדס כדי להגן על פרטיות המטופלים ומידע הבריאות. עם זאת, חסרים לנו תקנות המכסות את פרטיות הצרכן ואבטחת מידע בכל הענפים.

מצבי פרטיות הנתונים הלא-לא-לא מאוחדים

בשנים האחרונות אנחנו’מדינות ראו מציגות תקנות פרטיות של נתוני צרכנים משלהן. חוק פרטיות הצרכנים בקליפורניה (CCPA) וחוק הגנת המידע של מסצ’וסטס הם שתי דוגמאות חזקות. מדינות אחרות כבר חוקקו את חוקי הגנת המידע שלהן החלים על כל העסקים. מדינות אלה כוללות:

• ארקנסו
• קולורדו
• קונטיקט
• פלורידה
• אינדיאנה
• קנזס
• מרילנד
• מינסוטה
• נבדה
• ניו מקסיקו
• אורגון
• רוד איילנד
• טקסס
• יוטה

כל אחת מהמדינות הללו פיתחה ואימצה את חוקי הגנת המידע שלהן המחייבת חברות המחזיקות במידע צרכני אישי של תושבי המדינה כדי להגן על מידע זה. כך ‘קערת סלט’ קונונדרום. מבלי להיתג את כוחות השלטון, כל מדינה נותרה לפעול לבד, והתאימות הופכת לבלבלת ולא עקבית.

מדוע רב -לאומיות צריכות לדאוג לתאימות ל- GDPR?

שלוחות איחוד האירופי הקשורות לעסקים רב לאומיים צריכים לדאוג ל- GDPR מכיוון שלסביר להניח שיש להם לקוחות המתגוררים במדינה של האיחוד האירופי. אם נתוני הצרכנים של האיחוד האירופי שאוספים רב-לאומיות במהלך עסקאות נגישים ממערכת מרכזית אחת לסניפים ברחבי העולם, חובה שחברות אלה יבינו כיצד הנתונים זורמים כדי להבטיח שהנתונים החוצה גבולות יעמדו בדרישות ה- GDPR.

סיבה נוספת חשובה ביותר להפוך את עמידות העמידה ל- GDPR היא כי אי-ציות משאיר רב-לאומיות בכפוף לקנסות מינהליים משמעותיים שרשויות הגנת נתונים המיועדות (DPA) מקבלות סמכות להטיל אם הם מוצאים סיבה. העונשים על אי-ציות ל- GDPR הם ארבעה אחוזים מהחברה’S הכנסות שנתיות ברוטו ברחבי העולם או 20 מיליון אירו. עונשים כאלה חלים גם אם הישות האחראית היא בסך הכל חברה בת עם מעט עובדים בלבד, מה שהופך את זה לחיוני כי רב -לאומיות יוודאו כי כל חברות בנות על סיפונה, גם כן.

בנוסף, DPAs מחזיקים בכוח למסירה או לאסור על העברות נתונים מהאיחוד האירופי ל- U.ג. תאגיד הורים אם הם יגלו סוגיה של אי ציות.

האם אתה מבולבל לגבי תאימות לפרטיות הנתונים?

לדבר עם אני.ג. Partners, LLC. אנו יכולים לעזור לארגון שלך לקבוע אילו תקנות חלות על הפעילויות שלך ולבנות אסטרטגיה להשגת תאימות מלאה.