Amerykańskie przepisy dotyczące prywatności cyfrowej

Kiedy Stany Zjednoczone kichają, świat się przeziębia. To stwierdzenie jest szczególnie prawdziwe w świecie technologii cyfrowej. W końcu Ameryka jest domem dla wielu wiodących i odnoszących największe sukcesy firm internetowych (chociaż niektórzy mogą twierdzić, że Chiny depczą im po piętach). Jednak jednym z obszarów, w którym nasi europejscy kuzyni przewodzą, jest prywatność cyfrowa.

RODO zmieniło sposób, w jaki świat postrzega prywatność

Jeśli cofniesz się pamięcią do 2018 roku, przypomnisz sobie, jak Unia Europejska wstrząsnęła całym światem wprowadzając Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) .

W tamtym czasie RODO było wyjątkowe, ponieważ było wszechstronną regulacją mającą na celu ochronę prywatności obywateli Europy niezależnie od tego, komu i gdzie udostępniali swoje dane. Rozporządzenie to oznaczało, że jeśli organizacje amerykańskie chciały dalej działać w Europie lub z obywatelami europejskimi niezależnie od ich lokalizacji, musiały przestrzegać RODO.

W przeciwieństwie do poprzednich przepisów dotyczących prywatności, RODO miało zęby i wagę Komisji Europejskiej, która nakładała ogromne kary za naruszenia.

Miliony dolarów i niezliczone godziny pracy personelu zostały wydane na całym świecie, aby zapewnić zgodność. Pod wieloma względami inwestycja ta pomogła oczyścić ostatnie pozostałości praktyk biznesowych „Dzikiego Zachodu” przyjętych w dojrzewającym, ale wciąż w dużej mierze nieuregulowanym cyfrowym sektorze biznesowym. Mimo to niezliczone amerykańskie firmy naruszyły RODO.

Nadal uważasz, że RODO Cię nie dotyczy? Sprawdź tę listę największych kar nakładanych za niezgodność — brzmi jak pytanie „Kto jest kim?” największych amerykańskich firm, z Amazon, Meta (Facebook) i Alphabet (Google) dominującymi w pierwszej dziesiątce najbardziej znaczących grzywien.

Zmieniające się oblicze amerykańskich przepisów dotyczących prywatności

Można by argumentować, że przed RODO Stany Zjednoczone zasadniczo kopały puszkę (CAN-SPAM) pod względem prywatności.

Pod wieloma względami RODO zmusiło amerykańskie firmy do uporządkowania swoich działań bez potrzeby wprowadzania amerykańskich przepisów. Nie oznacza to jednak, że Stany Zjednoczone nie traktują prywatności poważnie. Obecnie istnieje wiele przepisów dotyczących prywatności, a wiele innych jest wdrażanych w całych Stanach Zjednoczonych. Jednak ze względu na sposób, w jaki poszczególne stany tworzą ustawodawstwo, przepisy te są mniej powiązane lub wszechogarniające niż RODO. Dla firm działających poza granicami stanu może to być mylące.

CCPA/CPRA

California Consumer Privacy Act (CCPA) i późniejsza California Privacy Rights Act (CPRA) , które wchodzą w życie 1 lipca 2023 r., zostały opisane jako najbardziej zbliżone do RODO.

CPRA opiera się na fundamencie ustanowionym przez RODO, który położył podwaliny pod kilka zasad nieuwzględnionych w CCPA. Zasady te obejmują:

• Minimalizacja danych: Zapewnienie, że gromadzenie danych jest niezbędne do realizacji określonego celu.
• Ograniczenie celu: Zapewnienie, że zebrane dane nie mogą być wykorzystywane do nowych i niezgodnych celów.
• Ograniczenie przechowywania: Zapewnienie, że dane nie mogą być przechowywane dłużej niż to konieczne.

RODO wpłynęło również na sposób, w jaki CPRA obchodzi się z wrażliwymi danymi osobowymi (SPI), takimi jak rasa lub pochodzenie etniczne, opinie polityczne, przekonania religijne lub filozoficzne, orientacja seksualna, genetyka i dane dotyczące zdrowia.

Pomimo podobieństw istnieją pewne kluczowe różnice między RODO a CPRA.

RODO dotyczy każdej organizacji, która gromadzi i przetwarza dane obywateli UE, niezależnie od wielkości firmy, lokalizacji lub celu. RODO również nie rozróżnia danych osobowych i biznesowych.

Tymczasem ustawa California Privacy Rights Act (CPRA) ma zastosowanie tylko do firm, które zbierają i przetwarzają dane osobowe mieszkańców Kalifornii i spełniają co najmniej jedno z poniższych kryteriów:

• Mieć roczny dochód brutto przekraczający 25 milionów dolarów;
• Kupuj, sprzedawaj lub udostępniaj dane osobowe co najmniej 100 000 konsumentów lub gospodarstw domowych rocznie; Lub
• Uzyskują co najmniej 50% swoich rocznych przychodów ze sprzedaży danych osobowych konsumentów.

W porównaniu z RODO firmy mają dużo miejsca na latanie pod radarem CCPA/CCPR. Być może odzwierciedla to bardziej zrelaksowane podejście do organizacji w USA uzyskujących dostęp do danych osobowych i przechowujących je w porównaniu z Europą. Jednak po kilku głośnych naruszeniach danych , które dotknęły tysiące obywateli USA, postawy te stają się mniej swobodne, a coraz więcej stanów USA wskakuje na modę na prywatność.

Ustawa o ochronie danych konsumentów z Wirginii (VCPDA)

Virginia Consumer Data Protection Act (VCDPA) to prawo dotyczące prywatności podobne do CCPA/CPRA i RODO, które zaczęło obowiązywać 1 stycznia 2023 r.

VCDPA ma zastosowanie do firm prowadzących działalność w Wirginii lub skierowanych do mieszkańców Wirginii i spełniających określone wymagania progowe. Wymagania te obejmują przetwarzanie danych osobowych co najmniej 100 000 konsumentów z Wirginii rocznie lub uzyskiwanie ponad 50% przychodów brutto ze sprzedaży danych osobowych oraz przetwarzanie danych osobowych co najmniej 25 000 konsumentów z Wirginii rocznie.

Zgodnie z ustawą VCDPA konsumenci z Wirginii mają prawo wiedzieć, jakie dane osobowe są o nich gromadzone, prawo dostępu do swoich danych, prawo do poprawiania nieścisłości w tych danych, prawo do usunięcia swoich danych w określonych okolicznościach oraz prawo do zrezygnować ze sprzedaży swoich danych.

Ustawa o ochronie prywatności stanu Kolorado (CPA)

CPA ma wejść w życie 1 lipca 2023 r.

Podobnie jak CCPA/CPRA i RODO, CPA ma zastosowanie do firm prowadzących działalność w Kolorado lub skierowanych do mieszkańców Kolorado i spełniających określone wymagania progowe. Wymagania te obejmują przetwarzanie danych osobowych co najmniej 100 000 konsumentów w Kolorado rocznie lub uzyskiwanie ponad 50% dochodu brutto ze sprzedaży danych osobowych oraz przetwarzanie danych osobowych co najmniej 25 000 konsumentów w Kolorado rocznie.

Po raz kolejny w ramach CPA konsumenci z Kolorado mają prawo wiedzieć, jakie dane osobowe są o nich gromadzone, prawo dostępu do swoich danych osobowych, prawo do poprawiania nieścisłości w swoich danych osobowych, prawo do usunięcia swoich danych osobowych w określonych okolicznościach , oraz prawo do rezygnacji ze sprzedaży swoich danych osobowych.

Rosnący ruch na rzecz większej prywatności w Stanach Zjednoczonych

Podczas gdy CCPA/CCPR, VCDPA i CPA są regulacjami lokalnymi, istnieje rosnący ruch prowadzący do tego, że coraz więcej stanów wprowadza przepisy dotyczące prywatności, które w pewnym stopniu łączą kropki i tworzą „krajowe” zobowiązanie do ochrony prywatności.

Connecticut, Iowa i Utah mają przepisy, które mają wejść w życie w ciągu najbliższych dwóch lat. Według trackera Międzynarodowego Stowarzyszenia Specjalistów ds. Prywatności (IAPP) wiele innych stanów jest w trakcie wprowadzania przepisów.

Istnieją jednak starsze amerykańskie przepisy dotyczące prywatności, które przekraczają granice stanowe i chronią osoby na szczeblu federalnym.

HIPAA – prawo federalne

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) to prawo federalne uchwalone w 1996 r., poprzedzające RODO, a nawet powszechne korzystanie z Internetu.

HIPAA została zaprojektowana w celu zapewnienia standardów prywatności i bezpieczeństwa w celu ochrony osobistych informacji zdrowotnych pacjenta. Prawo określa krajowe standardy prywatności i bezpieczeństwa chronionych informacji zdrowotnych (PHI) i ma zastosowanie do planów zdrowotnych, świadczeniodawców i izb rozliczeniowych opieki zdrowotnej, które przeprowadzają określone transakcje elektroniczne.

Zgodnie z ustawą HIPAA objęte nią podmioty muszą wdrożyć zabezpieczenia w celu ochrony poufności, integralności i dostępności PHI. Zabezpieczenia te obejmują środki administracyjne, fizyczne i techniczne w celu zapewnienia prywatności i bezpieczeństwa PHI.

Ustawa HIPAA przyznaje również osobom fizycznym pewne prawa dotyczące ich PHI, w tym prawo dostępu do ich PHI, prawo do żądania korekty ich PHI oraz prawo do składania skarg, jeśli uważają, że ich prawa do prywatności zostały naruszone.

Jak reagują firmy?

Ogólnie rzecz biorąc, firmy pozytywnie reagują na rosnącą falę przepisów dotyczących prywatności. Wiedząc, że ten trend nie zniknie, wiele firm dostosowuje swoje usługi, aby uwzględnić prywatność w swoich modelach biznesowych. Widzieliśmy już aktualizacje Ochrony prywatności poczty firmy Apple , a Google na nowo wymyśla sposób śledzenia zaangażowania użytkowników w GA4, najnowszej wersji Google Analytics.

Jednak może to być mylący czas dla małych i średnich firm, które nie mają zasobów, aby śledzić i nadążać za wymaganiami przepisów dotyczących prywatności. Jest to szczególnie prawdziwe, gdy dane są gromadzone i przetwarzane na wielu platformach technologicznych. Dla tych firm warto chronić prywatność swoich klientów i przyszłość ich organizacji, rozmawiając z ekspertem, który pomoże im zachować zgodność.

Ucz się więcej

Aby dowiedzieć się więcej o tym, jak eksperci ds. marketingu w emfluence mogą pomóc Twojej firmie przestrzegać aktualnych i przyszłych przepisów dotyczących prywatności, skontaktuj się z nami już dziś pod adresem [email protected] .