Prawo do prywatności i ochrona danych osobowych w USA
Zastosowanie i wymagania przepisów dotyczących bezpieczeństwa danych mogą się znacznie różnić w zależności od prawa i stanu w USA, a kary za nieprzestrzeganie tych przepisów są często znaczne.
Oto przykłady kar nałożonych w USA za naruszenie ochrony danych osobowych;
- Equifax: 700 milionów dolarów (2019) za naruszenie danych dotyczące 147 milionów konsumentów,
- Yahoo: 50 milionów dolarów (2019) za naruszenie danych dotyczące wszystkich 3 miliardów kont użytkowników,
- Marriott International: 124 miliony dolarów (2020) za naruszenie danych dotyczące 339 milionów gości,
- Anthem: 115 milionów dolarów (2018) za naruszenie danych dotyczące 79 milionów konsumentów,
- Target: 18,5 miliona dolarów (2017) za naruszenie danych dotykające 41 milionów klientów.
Kilka praw stanowych również nakłada określone poziomy bezpieczeństwa danych na informacje umożliwiające identyfikację osób. Wiele stanów uchwaliło również prawa mające wpływ na prywatność w Internecie, takie jak ustawy o ochronie konsumentów, prawa chroniące określone kategorie danych osobowych, prawa dotyczące bezpieczeństwa cybernetycznego oraz przepisy dotyczące powiadamiania o naruszeniu danych. Inne rodzaje praw stanowych dotyczących prywatności mogą również mieć zastosowanie do działalności w Internecie.
Inne stany mają prawo prywatności, które stosuje się do przedsiębiorstw, które zbierają i sprzedają dane osobowe konsumentów stronom trzecim, z którymi przedsiębiorstwo nie ma bezpośredniej relacji. Wymaga, aby brokerzy danych - firmy, które zbierają i świadomie licencjonują dane osobowe konsumentów, z którymi firma nie ma bezpośredniej relacji - rejestrowali się co roku u sekretarza stanu. Wymaga od przedsiębiorstw korzystających z usług sprzedawców zewnętrznych Sprzedawcy zewnętrzni muszą w umowie zapewnić, że te strony trzecie stosują te same zabezpieczenia prywatności w odniesieniu do danych, które im udostępniają, co pierwsze strony.
Zgodnie z niektórymi przepisami stanowymi i federalnymi wytycznymi regulacyjnymi, jeśli firma dzieli się niektórymi kategoriami danych osobowych z dostawcą, firma jest zobowiązana umową zobowiązać dostawcę do stosowania rozsądnych praktyk bezpieczeństwa. Firmy są zobowiązane do zapewnienia, że każda komunikacja z konsumentami, czy to za pośrednictwem tekstu, poczty elektronicznej, telefonu czy faksu, jest zgodna z obowiązującymi przepisami dotyczącymi prywatności, w tym z ustawą CAN-SPAM, ustawą o ochronie konsumentów korzystających z telefonu (TCPA), przepisami dotyczącymi sprzedaży telemarketingowej (TSR) i wszelkimi obowiązującymi przepisami stanowymi. Wymagania dotyczące powiadamiania/przejrzystości - Zobowiązanie przedsiębiorstw do informowania konsumentów o konkretnych praktykach dotyczących danych, operacjach związanych z ochroną prywatności i/lub programach ochrony prywatności. Zasada prywatności z 1974 r. wymaga, aby agencje powiadamiały publicznie o swoich systemach ewidencji poprzez publikację w Rejestrze Federalnym.
Chociaż FTC nie reguluje konkretnie, jakie informacje muszą być zawarte w polityce prywatności stron internetowych, wykorzystuje swoje uprawnienia do wydawania rozporządzeń, egzekwowania przepisów o ochronie prywatności i prowadzenia działań egzekucyjnych w celu ochrony konsumentów. Chociaż nie ma jednego kompleksowego regulatora ochrony danych w USA, uprawnienia FTC są dość szerokie i często nadają ton kwestiom federalnym dotyczącym prywatności i bezpieczeństwa danych. Istnieje szereg ustaw federalnych regulujących poszczególne branże i rodzaje danych, takich jak informacje zdrowotne, ale obecnie w USA nie ma kompleksowej federalnej ustawy o ochronie danych.
W USA nie ma jednego i jednolitego prawa obejmującego prywatność danych wszystkich typów we wszystkich sektorach i branżach tak samo jako GDPR (RODO) w Unii Europejskiej. W 2022 roku pojawił się federalny projekt i jest duże prawdopodobieństwo uchwalenia nowych przepisów ochrony danych osobowych w USA. Zgłoszono rezolucję Izby Reprezentantów („HR”) 8152 dotyczącą federalnej amerykańskiej ustawy o ochronie danych i prywatności („ADPPA”), która zostanie teraz przedłożona Izbie Reprezentantów Stanów Zjednoczonych. Ponadto na poziomie federalnym obowiązuje wiele przepisów sektorowych.
Tak jak w przypadku praw federalnych, istnieją prawa na poziomie stanowym, które określają poszczególne aspekty prywatności danych. Ustawy o prywatności danych nie byłyby całkiem podobne do CCPA czy kalifornijskiej ustawy o prawie do prywatności, ale prawdopodobnie zawierałyby podobne wymagania, aby zaspokoić szereg innych unikalnych potrzeb stanów USA.
California Privacy Rights Act (CPRA) chroni konsumentów, zdefiniowanych jako osoby fizyczne, które są mieszkańcami Kalifornii. Kalifornijska ustawa o ochronie prywatności konsumentów wymaga od firm objętych ustawą, aby pomóc konsumentom w korzystaniu z ich praw do danych poprzez uzyskanie zgody opt-in przed przetwarzaniem ich wrażliwych danych, ujawnienie, kiedy ich dane zostaną sprzedane, i danie im możliwości rezygnacji. Zgodnie z California Consumer Privacy Act, firmy mogą opublikować oświadczenie o prywatności dające klientom opcję nie udostępniania informacji bez opłaty. Ustawa, między innymi, wymaga, aby widoczne oświadczenie o prywatności określało kategorie informacji identyfikowalnych osobiście, które operator zbiera na poszczególnych konsumentach korzystających lub odwiedzających jego stronę internetową lub usługi internetowe, oraz strony trzecie, z którymi operator może dzielić się tymi informacjami.
Kompleksowa ustawa o ochronie danych osobowych konsumentów Nowego Jorku zabrania również marketingu lub reklamowania niektórych produktów na podstawie informacji umożliwiających identyfikację osób, które dotyczą konkretnie nieletnich, lub świadomego wykorzystywania, ujawniania, gromadzenia lub zezwalania na to osobom trzecim. Przepisy przewidują również prawo do przenoszenia danych i wymagają od przedsiębiorstw uzyskania zgody przed wykorzystaniem danych osobowych. Przepisy te rozszerzają prywatność konsumentów i zapewniają mieszkańcom Nowego Jorku większą ochronę przed naruszeniem danych osobowych. Ustawa ta zmieniła obowiązujące w Nowym Jorku przepisy dotyczące powiadamiania o naruszeniu danych i stworzyła większe wymagania w zakresie bezpieczeństwa danych dla firm gromadzących informacje o mieszkańcach Nowego Jorku.
Wiele stanów obecnie prawnie wymaga od organizacji informowania konsumentów o naruszeniach bezpieczeństwa, które dotyczą danych osobowych.
Ogólne rozporządzenie o ochronie danych (GDPR) wymaga od firm uzyskania pewnych pozwoleń przed udostępnieniem danych oraz zapewnienia osobom fizycznym prawa do dostępu, usunięcia lub monitorowania wykorzystania tych danych.
Prawo amerykańskie nie wymaga powołania urzędnika ds. ochrony danych, ale niektóre ustawy wymagają wyznaczenia osoby, która będzie nadzorować wymogi dotyczące prywatności i ochrony danych określone w ustawie.
Prokuratorzy generalni Stanów Zjednoczonych nadzorują przepisy dotyczące prywatności danych, które regulują gromadzenie, przechowywanie, bezpieczeństwo, usuwanie i wykorzystywanie danych osobowych zebranych od swoich mieszkańców, w szczególności w odniesieniu do powiadamiania o naruszeniu danych i bezpieczeństwa numerów ubezpieczenia społecznego.
Ograniczenie celu; FTC zachęca do stosowania praktyk ochrony prywatności w fazie projektowania, w tym do ograniczania zbierania danych do takich, które są zgodne z kontekstem konkretnej transakcji lub relacji konsumenta z firmą, albo które są wymagane lub wyraźnie dozwolone przez ustawę. Oceny zgodności pomagają firmom w zapewnieniu, że ich praktyki zbierania danych i posługiwania się nimi, procedury przekazywania danych, polityka prywatności oraz działania marketingowe są zgodne z obowiązującymi krajowymi, międzynarodowymi i stanowymi przepisami i regulacjami dotyczącymi prywatności i bezpieczeństwa danych.
Przedsiębiorstwa mające siedzibę w innych jurysdykcjach mogą podlegać zarówno federalnym, jak i stanowym przepisom o ochronie danych w przypadku działań dotyczących mieszkańców USA, na których wpływają informacje gromadzone, przechowywane, przekazywane, przetwarzane lub udostępniane przez przedsiębiorstwo. Eksperci nazwali kalifornijską ochronę prywatności danych najsilniejszą w USA, ponieważ przepisy obejmują ograniczone prywatne prawo do pozwania firmy za niektóre rodzaje naruszeń danych.
Jak MQX Polska może pomóc?
Nasz zespół koncentruje się na dostarczaniu wysokiej jakości usług cyberbezpieczeństwa i ochrony danych osobowych zgodnie z wymogami przepisów amerykańskich.
Łączymy prawo i technologie cyberbezpieczeństwa. Wdrażamy kompleksową ochronę danych osobowych, szkolenia (materiały szkoleniowe, prezentacje, filmy), wsparcie prawne, technologiczne i organizacyjne.
Zapewniamy wdrożenie ochrony zgodnie z przepisami amerykańskimi.
Jeżeli Twoja firma działa na rynkach zagranicznych w USA lub Kanadzie, to warto sprawdzić, czy powinna wdrożyć wymogi tych jurysdykcji ochrony danych osobowych i cyberbezpieczeństwa.