نظرة على قانون الخصوصية في كولورادو: تنبؤات حول مستقبل حماية بيانات المستخدم
نشرت: 2021-09-16
في يوليو الماضي ، أقرت كولورادو قانون الخصوصية في كولورادو (CPA) ، مما يجعلها رابع ولاية تسن تشريعات خصوصية شاملة في الولايات المتحدة ، بعد كاليفورنيا ونيفادا وفيرجينيا.
في حين أن اتفاقية السلام الشامل والقوانين المماثلة ستكون عرضة للتغيير مع مرور الوقت ، يبقى السؤال: هل يجب أن تبدأ الشركات العمل نحو الامتثال لكل قانون فردي جديد ، أم يجب أن تضع نوعًا من الخطة التي من خلالها تظل حقوق المستخدمين محمية بغض النظر عن السبب. يحدث من حيث التغييرات السياسة؟
مع لوائح الخصوصية الفريدة لكل ولاية ، أصبح من الصعب بشكل متزايد على الشركات تتبع هذه التغييرات ، وضمان الامتثال وتجنب العقوبات.
لتسهيل هذه العملية ، سنقارن بعض الأمثلة الحديثة من ولايات مختلفة ونقدم نظرة ثاقبة حول كيفية تأثيرها على الممارسات التجارية بالإضافة إلى الاتجاهات المستقبلية في حماية بيانات المستخدم.
في منشور المدونة هذا ، نلقي نظرة على قانون الخصوصية في كولورادو وكيف يتعارض مع قوانين الخصوصية الأخرى ، مثل SB20 في نيفادا ، و CDPA في فيرجينيا ، و CPPA في كاليفورنيا وأحدث CPRA ، و GDPR الأوروبي.
أولاً ، إليكم ملخص لجميع الأحكام الرئيسية لهذه القوانين:
| الأحكام الرئيسية | كولورادو CPA | نيفادا SB220 | فرجينيا CDPA | كاليفورنيا CDPA + CPRA | اللائحة العامة لحماية البيانات في أوروبا | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| القدرة على المعالجة | |||||||||||||||||||||||||||||||||||
| تصغير البيانات | نعم | نعم | رقم | نعم | |||||||||||||||||||||||||||||||
| الغرض المسموح به | نعم | نعم | رقم | نعم | |||||||||||||||||||||||||||||||
| الحقوق الفردية | |||||||||||||||||||||||||||||||||||
| الحق في تلقي إشعار بأنشطة المعالجة | نعم | نعم | نعم | نعم | نعم | ||||||||||||||||||||||||||||||
| الحق في الوصول إلى البيانات الشخصية | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| الحق في إمكانية نقل البيانات (على سبيل المثال ، يجب تقديم البيانات بتنسيق سهل الاستخدام ، بحيث يمكن نقلها من كيان / منصة إلى أخرى) | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| الحق في تصحيح الأخطاء في البيانات الشخصية | نعم | نعم | رقم | نعم | |||||||||||||||||||||||||||||||
| الحق في حذف البيانات الشخصية | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| الحق في الانسحاب من الإعلان السلوكي | رقم | نعم | رقم | نعم | |||||||||||||||||||||||||||||||
| الحق في الاعتراض على التنميط الآلي واتخاذ القرار | رقم | نعم | رقم | نعم | |||||||||||||||||||||||||||||||
| الحق في عدم التمييز في ممارسة هذه الحقوق | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| الحق في الانسحاب من بيع المعلومات الشخصية | نعم | نعم | نعم | نعم | رقم | ||||||||||||||||||||||||||||||
| الاشتراك أو إلغاء الاشتراك في معالجة المعلومات الحساسة | الاشتراك | الاشتراك | انسحب | الاشتراك | |||||||||||||||||||||||||||||||
| الحق في استئناف رفض الطلبات | رقم | نعم | رقم | رقم | |||||||||||||||||||||||||||||||
| المساءلة / الحكم | |||||||||||||||||||||||||||||||||||
| تقييمات حماية البيانات | نعم | نعم | رقم | نعم | |||||||||||||||||||||||||||||||
| حماية | |||||||||||||||||||||||||||||||||||
| أمن البيانات المناسب لحماية المعلومات | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| إشعار الخرق | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| عمليات نقل البيانات خارج المنطقة الاقتصادية الأوروبية | |||||||||||||||||||||||||||||||||||
| إجراءات إضافية للتحويلات الدولية | نعم | رقم | رقم | نعم | |||||||||||||||||||||||||||||||
| التحويلات إلى أطراف ثالثة | |||||||||||||||||||||||||||||||||||
| المتطلبات التعاقدية في اتفاقيات مقدم الخدمة | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| تسويق | |||||||||||||||||||||||||||||||||||
| الموافقة على ملفات تعريف الارتباط Adtech | رقم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||
| تم الحصول على الموافقة قبل التسويق المباشر | نعم | رقم | رقم | نعم | |||||||||||||||||||||||||||||||
| وكالات الإنفاذ | |||||||||||||||||||||||||||||||||||
| مدعي عام | مدعي عام | النائب العام CPPA | DPA | ||||||||||||||||||||||||||||||||
| تاريخ العملية | |||||||||||||||||||||||||||||||||||
| 1 يوليو 2023 | 1 أكتوبر 2019 | 1 يناير 2023 | 1 يناير 2020/1 يناير 2023 | 25 مايو 2018 | |||||||||||||||||||||||||||||||
ما الذي تشترك فيه كل قوانين الخصوصية هذه؟
اتفاق السلام الشامل مشابه لقوانين الخصوصية الأخرى مثل القانون العام لحماية البيانات وقانون كاليفورنيا وقانون فيرجينيا. ومع ذلك ، فإنه لا يقارن بولاية نيفادا حيث أن الأخيرة قد سنت فقط قانونًا محدودًا للغاية فيما يتعلق ببيع بعض البيانات التي تم جمعها عبر الإنترنت ، لذلك تم استبعادها من المقارنة أدناه.
- اتفاقية معالجة البيانات - هذا أمر شائع بين جميع قوانين الخصوصية. ببساطة ، هذا يعني أن المنظمة تحتاج إلى صياغة نموذج قانوني حيث يصف أنشطة معالجة البيانات الشخصية التي تحدث عند استخدام خدمة أو منتج. باختصار ، يتحدث عن كيفية حدوث معالجة البيانات ، ومن سيكون مسؤولاً عن ماذا ، وما هي التدابير الأمنية التي سيتم اتخاذها. لقد أعدنا نموذجنا مرة أخرى في 2018 للائحة العامة لحماية البيانات ، المتاح هنا. مع كل قانون جديد ، نقوم بتحديث بنود النموذج للتكيف مع جميع الشروط القانونية الجديدة.
- القاسم المشترك الثاني بين قوانين الخصوصية هو أنها تتطلب جميعًا من المنظمات اتخاذ التدابير التقنية والتنظيمية المناسبة للاستجابة بسرعة وبشكل مناسب عندما يمارس المستهلكون حقوقهم. يختلف ماهية هذه الحقوق من قانون إلى آخر ، كما هو موضح في الجدول أعلاه ، لكن التدابير تظل كما هي.
- إشعار خرق البيانات الشخصية هو مصطلح شائع آخر موجود في القوانين. خرق أمن البيانات الشخصية هو أي حدث من المحتمل أن يؤثر على سرية أو سلامة أو توفر البيانات الشخصية التي تحتفظ بها المنظمة بأي تنسيق.
يمكن أن تحدث انتهاكات أمن البيانات الشخصية لأسباب عديدة ، بما في ذلك:- الكشف عن البيانات السرية للأفراد غير المصرح لهم ؛
- فقدان أو سرقة البيانات أو المعدات التي يتم تخزين البيانات عليها ؛
- ضوابط الوصول غير الملائمة التي تسمح بالاستخدام غير المصرح به للمعلومات ؛
- محاولات الوصول غير المصرح به إلى أنظمة الكمبيوتر ، مثل القرصنة ؛ السجلات التي تم تغييرها أو حذفها دون إذن من "مالك" البيانات ؛
- الفيروسات أو الهجمات الأمنية الأخرى على أنظمة أو شبكات معدات تكنولوجيا المعلومات ؛
- ترك معدات تكنولوجيا المعلومات دون مراقبة عند تسجيل الدخول إلى حساب مستخدم دون قفل الشاشة لمنع الآخرين من الوصول إلى المعلومات ؛
- رسائل البريد الإلكتروني التي تحتوي على معلومات شخصية أو حساسة تم إرسالها عن طريق الخطأ إلى المستلم الخطأ.
- هناك مطلب شائع آخر بموجب القانون العام لحماية البيانات (GDPR) ، وقانون حماية خصوصية المستهلك (CCPA) ، و VCDPA ، و CPA ، وهو عملية إجراء تقييمات تأثير معالجة البيانات (DPIAs) لأي مشروعات معالجة جديدة عالية المخاطر. إن تقييم التأثير على حماية البيانات هو عملية النظر بشكل منهجي في التأثير المحتمل الذي قد يحدثه مشروع أو مبادرة على خصوصية الأفراد. يسمح للمؤسسات بتحديد مشكلات الخصوصية المحتملة قبل ظهورها والتوصل إلى طريقة للتخفيف منها. قدمت اللائحة العامة لحماية البيانات (GDPR) لأول مرة تقييمات حماية البيانات الشخصية الإلزامية لتلك المنظمات المشاركة في المعالجة عالية المخاطر ؛ على سبيل المثال ، حيث يتم نشر التكنولوجيا الجديدة ، حيث من المحتمل أن تؤثر عملية التنميط بشكل كبير على الأفراد ، أو حيث توجد مراقبة واسعة النطاق لمنطقة يمكن الوصول إليها بشكل عام.
على سبيل المثال ، لممارسة حقك في الوصول إلى بياناتك الشخصية التي يستخدمها التحويل ، يجب عليك إرسال طلب كتابي إلى [email protected]. في الطلب ، اذكر أن طلبك يتم إجراؤه ممارسة لحقك في الوصول بموجب قانون الخصوصية المحدد الذي تهتم به. مطلوب DPO الاستجابة لطلبك الكتابي. كن مستعدًا لتقديم دليل على هويتك ، والذي يجب أن يطلبه منك مسؤول حماية البيانات للتأكد من عدم إعطاء المعلومات الشخصية إلى الشخص الخطأ. العملية المذكورة أعلاه خاصة بـ GDPR و CCPA و CPA وهي موثقة بالفعل على صفحة الخصوصية الخاصة بنا.
وبالمثل ، إذا كنت ترغب في إغلاق حساب التحويل الخاص بك ، وترك الخدمة ، وتريد نسخة احتياطية من جميع بيانات التحويل الخاصة بك ، فيمكنك ممارسة حقك في إمكانية نقل البيانات. يمكنك كتابة بريد إلكتروني إلى نفس عنوان البريد الإلكتروني أعلاه ، إذا لم يكن خيار تنزيل البيانات متاحًا على الفور ، واطلب من مسؤول حماية البيانات (DPO) الحصول على نسخة احتياطية من البيانات المستخدمة عبر الخدمة. يجب أن يتصرف مسؤول حماية البيانات (DPO) بناءً على طلبك المكتوب.
في مشروع القانون العام لحماية البيانات (GDPR) الخاص به ، قم بتحويل إرشادات مطورة للموظفين ونموذج لاستخدامه في تنفيذ تقييمات حماية البيانات الشخصية. يمكنك العثور على النموذج الذي يحتوي على أسئلة الفرز المملوءة مسبقًا هنا. تم تكييف هذا النموذج منذ ذلك الحين مع قوانين الخصوصية الأمريكية الجديدة.
لكن هناك بعض الاختلافات الرئيسية!
يحمي القانون العام لحماية البيانات البيانات الشخصية. تحمي قوانين الولايات المتحدة بشكل أساسي المستهلكين الذين يختارون حماية بياناتهم الشخصية.
- يضع النقاش حول البيانات مقابل حماية المستهلك جوهر كل مبادرات الخصوصية هذه. إنها أيضًا نقطة أساسية تميز القانون العام لحماية البيانات (GDPR) عن جميع قوانين الخصوصية الأخرى. مع القانون العام لحماية البيانات (GDPR) ، تتم حماية البيانات الشخصية خلال المراحل المختلفة ، بدءًا من التجميع والمعالجة والتخزين والنقل إلى جهات خارجية. تتأكد قوانين الولايات المتحدة من حماية المستهلك أثناء اتصاله بالإنترنت واستخدامه للخدمات أو تصفح المنتجات أو اختبارها. هذا هو السبب في أن سياسة خصوصية الشركة لا يمكن أن تظل كما هي عندما يدخل قانون جديد حيز التنفيذ. يجب إضافة أقسام جديدة لتعكس الشروط والأحكام القانونية الجديدة. استشر محاميك دائمًا لتعرف بالضبط ما يجب إضافته للامتثال لكل قانون.
- تختلف القوانين أيضًا في نطاق نظام التقيد / الانسحاب . تعمل اللائحة العامة لحماية البيانات (GDPR) بموجب نظام الاشتراك ، مما يعني أن الدول الأعضاء في الاتحاد الأوروبي لا تجمع أي بيانات شخصية من الزائر حتى يوافقوا صراحةً عن طريق تحديد مربع اختيار على لافتة الموافقة التي تظهر على الموقع الذي يتنقلون فيه. يحدث العكس في مواقع الناشرين في الولايات المتحدة. يمكن جمع البيانات حتى يقرر الزائر الانسحاب من معالجة البيانات. تعمل كاليفورنيا فقط في ظل نظام هجين لإلغاء الاشتراك / الاشتراك. تسمح CCPA للمؤسسة بجمع بيانات المستهلكين بشكل افتراضي ، ولكنها تتطلب أيضًا من جامعي البيانات تقديم إشعارات الخصوصية للمستهلكين قبل جمع البيانات. يخضع اتفاق السلام الشامل ، VCDPA لنظام الانسحاب الواضح.
في Convert ، نحن نعمل بموجب نظام الاشتراك حيث إننا نقدر الشفافية وخيارات الزوار وقمنا بتكييف تجربة المستخدم لدينا لتلائم متطلباتها. - يمكن أيضًا ملاحظة الاختلافات في قواعد نقل البيانات الدولية . تعد اللائحة العامة لحماية البيانات (GDPR) صارمة للغاية مع عمليات النقل هذه ولا تسمح بها إلا عندما يكون لدى البلد المتلقي لوائح خصوصية مماثلة. بخلاف ذلك ، يتطلب من المؤسسات استخدام البنود التعاقدية القياسية أو موافقة المستخدمين. من ناحية أخرى ، تسمح CCPA و VCDPA بنقل البيانات الدولية في جميع أنحاء العالم حتى وقوع حادث. بعد ذلك ، تتحمل المنظمة المسؤولية ويتم تطبيق الغرامات. اتفاقية السلام الشامل متساهلة إلى حد ما ، حيث تتطلب من المنظمات إبلاغ المستخدمين / الزوار عند حدوث عمليات نقل البيانات الدولية ولكن لا تقيدها.
في التحويل ، نلتزم باللائحة العامة لحماية البيانات ونوفر أدوات النقل الضرورية عند الطلب (البنود التعاقدية القياسية هي جزء من العقد الذي يوقعه المستخدمون لدينا). - أخيرًا ، للقوانين فترات استجابة مختلفة لانتهاكات الخصوصية . يمنح القانون العام لحماية البيانات (GDPR) و VCDPA المتحكمين أو المعالجات 30 يومًا للرد على انتهاكات الخصوصية. يسمح CPPA ، ولكن ليس من الضروري تقديم فترة لعلاج انتهاكات CPRA. يجب أن تقدم اتفاقية السلام الشامل فترة استجابة مدتها 60 يومًا.
نظرًا لأن التحويل لم يكن جزءًا من أي انتهاك للخصوصية ، فلم يكن من السهل اختباره ، لكننا قمنا بمحاكاة مثل هذه الطلبات داخليًا واكتشفنا أنه يمكننا الرد في غضون 7-10 أيام. إنه أمر مثير للإعجاب نظرًا لحقيقة أنه يمكن مشاركة العديد من الأشخاص والأدوات.
هل شركتك مستعدة لاتفاق السلام الشامل؟
العديد من هذه القوانين لها نفس اللفظ ، لذلك من الصعب للغاية اكتشاف الاختلافات. ومع ذلك ، حاولنا أن نوضح لك هذه المقارنة أعلاه. لتحقيق الامتثال لقوانين الخصوصية هذه ، كن مستعدًا لقضاء الكثير من الوقت في مراجعتها واستشارة الخبراء القانونيين.
لحسن الحظ ، تنطبق بعض المقاييس عالميًا على كل منهم. لقد قمنا بإدراجها في إحدى مقالاتنا السابقة ، ولكن ها هي مرة أخرى لتحديث ذاكرتك:
- إنشاء جرد بيانات شامل والحفاظ عليه ، مما يوفر نظرة ثاقبة لكل من أنواع البيانات المعنية وطبيعة أنشطة المعالجة.
- تأكد من فصل البيانات الحساسة وإدارتها دون مخاطر غير ضرورية.
- تنفيذ إطار عمل لإجراء تقييمات تأثير حماية البيانات (DPIA).
- تقييم سياسات وممارسات وضوابط الأمن السيبراني المعمول بها لضمان توافقها مع المعايير المعترف بها في الصناعة.
- تمكين المستهلكين من إلغاء الاشتراك في بيع معلوماتهم الشخصية (عند الاقتضاء).
- تحديث سياسات الخصوصية التي تواجه الجمهور ، من بين التغييرات الأخرى ، التعهد بعدم إعادة تحديد البيانات الشخصية مجهولة الهوية وتقديم تفاصيل عن أنشطة معالجة البيانات الخاصة بها.
- تطوير آليات لقبول طلبات المستهلكين وتتبعها والتحقق منها وتكريمها للوصول إلى البيانات الشخصية وتصحيحها وحذفها وإلغاء الاشتراك فيها بموجب اتفاقية السلام الشامل.
- تأكد من أن موظفي خدمة العملاء لديك لديهم معرفة دقيقة باللوائح لتلبية طلبات العملاء بكفاءة وبشكل متوقع.
كيف سيبدو مشهد الخصوصية في العقد القادم؟
تظهر خصوصية البيانات كمسألة محددة لهذا العقد. سيكون هذا عالمًا أكثر حساسية للخصوصية ، حيث أصبح كل من الشركات والأفراد يدركون بشكل متزايد أنه لم يعد هناك شيء مثل "الخصوصية".
علمتنا قوانين الخصوصية الأخيرة أن هذه المبادرات تتطلب جهودًا مكثفة ووقتًا للتخطيط بعناية ، وتحديد الثغرات في آليات الخصوصية ، وتنفيذ السياسات والعمليات الجديدة وجهود الإصلاح. لذلك لن يتغير مشهد خصوصية البيانات بسرعة.
على الرغم من أن مستقبل الخصوصية غير مكتوب إلى حد كبير ، إلا أن العديد من الاتجاهات تعمل بالفعل على تشكيله بطرق متنوعة. ستكون المنظمات التي تتعامل مع هذه الاتجاهات على أفضل وجه خلال السنوات العشر القادمة أكثر قدرة على المنافسة من تلك التي تستمر في الامتثال للقوانين الجديدة فقط.
دعونا نرى ما هم.
- سيحمي معظم المستهلكين بياناتهم الشخصية بشكل استباقي. سنرى أدوات حماية خصوصية أفضل (بنفس الطريقة التي نمتلك بها الآن أدوات اختراق الخصوصية). المنظمات التي لا تلتزم بهذه الحماية ستخاطر بفقدان عملائها.
- ستصبح عمليات نقل البيانات عبر الحدود أكثر بساطة. لن نضطر إلى بناء ممالك بيانات محلية لا يمكن للأجانب إدخالها.
- رحلات تجربة العملاء الخاصة بالخصوصية : سيتم تطوير مشاريع جديدة تتوافق مع التوقعات الثقافية والقانونية لقوانين الخصوصية ، بالإضافة إلى موقف كل شركة من البيانات وأخلاقيات التكنولوجيا.
- ثقافة خصوصية الموظف: ستستخدم الموارد البشرية برامج خصوصية الموظفين التي تتوافق مع بيانات الشركة وقيمها التكنولوجية لتطوير ثقافة خصوصية شاملة. قد يتضمن مثل هذا البرنامج مجلسًا للموظفين يراجع وينقل تقييمات الخصوصية والأثر الأخلاقي للتقنيات الجديدة واستخدامات البيانات في مكان العمل.
يمكن أن يتغير الكثير في غضون 10 سنوات ، ولكن مرة أخرى ، يمكن أن يتغير القليل أيضًا. هنا في Convert ، جعلنا احترام خصوصية زوارنا ومستخدمينا جزءًا من ثقافتنا. أين سنكون في عام 2030؟ بحلول عام 2030 ، نرى الشركات التي تحترم خصوصية المستخدمين جنبًا إلى جنب مع الجهات التنظيمية تعمل جميعها بسلاسة معًا دون المساومة على الحريات الفردية. هذه الرؤية هي أكثر ما يهم فريقنا في شركة Convert ، وحيث نأمل أن تنضم إلينا أيضًا!
