Wetten inzake gegevensprivacy in de VS

Gegevensprivacykwesties en bijbehorende regelgeving zijn enkele van de grootste uitdagingen waarmee bedrijven vandaag de dag worden geconfronteerd. Terwijl bedrijven die onder de AVG vallen , de eerste golf van boetes, vereisten en normen hebben gevoeld, is privacy nu een internationaal probleem.

De VS zijn al op weg naar revolutionaire privacyregelgeving. Met wetten die zijn aangenomen in Californië en Nevada en rekeningen gepland in veel andere staten, kunnen bedrijven verwachten dat ze de komende maanden worden beïnvloed.

Dit artikel geeft een overzicht van de cruciale onderdelen van de wet/wet op de privacyregelgeving van elke staat - inclusief wie ze dekken, wanneer ze van kracht worden, sancties, hoe naleving kan worden bereikt en waarom staten stappen hebben ondernomen voor de federale overheid om de persoonlijke gegevens van consumenten te beschermen.

De California Consumer Privacy Act

Als een van de eerste privacy wetten die na de BBPR, de CCPA optreedt als de blauwdruk voor andere rekeningen in de Verenigde Staten. Met ingang van 1 januari 2020 is de CCPA van toepassing op een bedrijf dat persoonsgegevens van inwoners van Californië verzamelt/verwerkt of zaken doet in Californië. Deze bedrijven vallen onder de CCPA als ze:

Een bruto-omzet van $ 25 miljoen overschrijden

Koop, ontvang, verkoop of deel (gecombineerd totaal) persoonlijke informatie van 50.000 of meer consumentenhuishoudens of apparaten

50% of meer van de jaarlijkse omzet halen uit de verkoop van persoonlijke informatie van consumenten

De CCPA kent rechten toe aan consumenten die vergelijkbaar zijn met de AVG, waaronder de openbaarmaking van persoonlijke informatie en verzoeken om persoonlijke gegevens. Bedrijven moeten op verifieerbare verzoeken van consumenten reageren met informatie, zoals categorieën en gegevens van persoonlijke informatie, derde partijen en categorieën van derde partijen waarmee gegevens worden gedeeld, en meer.

De sectie, die bekend staat als Data Subject Requests (DSR), geeft gebruikers toegang tot verwijderingsopties voor hun persoonlijke informatie. De CCPA vereist ook dat bedrijven een link 'Verkoop mijn persoonlijke gegevens niet' op hun startpagina weergeven. De CCPA zal worden gehandhaafd door de procureur-generaal en omvat boetes tot $ 7.500 voor elke individuele overtreding.

De privacywet van Nevada

De privacywet van Nevada werd ondertekend op 29 mei 2019 en trad in werking op 1 oktober 2019, drie maanden voor de bekendere CCPA. De wetten lijken erg op elkaar, maar hebben een groot verschil in hoe "verkoop" wordt gedefinieerd. De wet van Nevada is strenger, dekt niet alle dienstverleners en is milder voor financiële instellingen. Volgens InfoLawGroup zijn de CCPA- en Nevada-wet vergelijkbaar in die zin dat beide vereisen dat "bedrijven een proces bedenken om de legitimiteit van een opt-outverzoek van een consument te verifiëren en bedrijven verplichten om binnen 60 dagen op het verzoek te reageren." Net als in Californië ligt de handhaving van Nevada bij de procureur-generaal en omvat boetes tot $ 5.000 per overtreding.

De privacywet van New York

In mei 2019 introduceerde senator Kevin Thomas van de staat New York een van de meest revolutionaire wetten op het gebied van gegevensprivacy. De vereisten waren standaard en omvatten de mogelijkheid voor bewoners om hun persoonlijke gegevens in te zien, te corrigeren, te verwijderen en te bewaren voor derden.

Er zijn echter uitgebreidere bepalingen toegevoegd, zoals verplichtingen aan gegevensfiduciairs en het recht voor inwoners om een ​​rechtszaak aan te spannen tegen bedrijven als zij door een overtreding schade oplopen. Dit privaatrecht van actie is een van de grootste onderscheidende punten van andere regelgeving en kan consumenten ertoe aanzetten om achter bedrijven aan te gaan die niet aan de regels voldoen. Het wetsvoorstel is ook breder dan de CCPA en dekt elk bedrijf dat de "gevoelige gegevens van inwoners van New York" heeft, zonder inkomstenvereiste voor gedekte entiteiten.

Met wetten die in twee staten zijn aangenomen, wetsvoorstellen in andere en negen staten die nieuwe wetten voor het melden van datalekken aannemen, zijn we getuige van het begin van een enorme verschuiving naar bescherming van consumentengegevens en aansprakelijkheid voor bedrijven die deze controleren en verwerken.

Om naleving te behouden, moeten bedrijven op de hoogte zijn van de huidige wetten, toekomstige regelgeving in de maak en het potentieel voor verschillende normen in de VS. Het creëren van processen voor gegevensverwerking, gegevensportabiliteit en mapping, en gebruikersopt-in-controles zijn enkele van de noodzakelijke praktijken voor bedrijven die persoonlijke gegevens verzamelen.