يوتا: ولاية أخرى لتمرير قانون خصوصية البيانات ، UCPA
نشرت: 2022-05-31
في مارس من عام 2022 ، وقع حاكم ولاية يوتا سبنسر جيه كوكس على قانون مجلس الشيوخ (SB) 227 ، المعروف أيضًا باسم قانون خصوصية المستهلك في ولاية يوتا (UCPA) .
UCPA هو قانون خصوصية متعدد المجالات يمنح مستهلكي ولاية يوتا حقوق خصوصية كبيرة على معلوماتهم الشخصية. تُعرف أي بيانات مرتبطة بفرد محدد أو يمكن التعرف عليه باسم البيانات الشخصية . تنطبق متطلبات الامتثال الإضافية على فئات "البيانات الحساسة" المحددة بدقة أكبر. سيدخل القانون حيز التنفيذ في 31 ديسمبر 2023.
إن قانون حماية خصوصية المستهلك في كاليفورنيا ، وفيرجينيا ، ونيفادا ، وكولورادو ، مشابه ولكنه غير مطابق لقوانين خصوصية المستهلك. إنه مستوحى بشكل كبير من قانون حماية بيانات المستهلك في فرجينيا (VCDPA) ، ويمكن أيضًا العثور على بعض العناصر الشبيهة بـ VCDPA في قانون خصوصية كولورادو.
للوهلة الأولى ، تظهر بعض ميزات UCPA مشابهة لقانون خصوصية المستهلك في كاليفورنيا (CCPA). ومع ذلك ، فمن الناحية العملية ، يعد نهجًا أكثر ليونة وملاءمة للأعمال تجاه خصوصية المستهلك من أسلافه .
كيف تختلف UCPA عن قوانين خصوصية الدولة الأخرى
فيما يلي مقارنة عالية المستوى لأحكام UCPA مع تلك الخاصة بـ
- قانون الخصوصية في كولورادو (CPA)
- قانون خصوصية ولاية نيفادا (SB200)
- VCDPA
- CCPA (بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا (CPRA))
- اللائحة العامة لحماية البيانات (GDPR)
| الأحكام الرئيسية | يوتا UCPA | كولورادو CPA | نيفادا SB220 | فرجينيا CDPA | كاليفورنيا CCPA + CPRA | اللائحة العامة لحماية البيانات في أوروبا | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| القدرة على المعالجة | |||||||||||||||||||||||||||||||||||||||||
| تصغير البيانات | نعم | نعم | - | نعم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| الغرض المسموح به | نعم | نعم | - | نعم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| الحقوق الفردية | |||||||||||||||||||||||||||||||||||||||||
| الحق في تلقي إشعار بأنشطة المعالجة | نعم | نعم | نعم | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في الوصول إلى البيانات الشخصية | نعم | نعم | - | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في نقل البيانات. يجب أن تكون البيانات متاحة بتنسيق سهل الاستخدام لنقلها من كيان / منصة إلى أخرى. | نعم | نعم | . | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في تصحيح الأخطاء في البيانات الشخصية | رقم | نعم | - | نعم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في حذف البيانات الشخصية | نعم | نعم | - | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في الانسحاب من الإعلان السلوكي | نعم | رقم | - | نعم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في الاعتراض على التنميط الآلي واتخاذ القرار | نعم | رقم | - | نعم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في عدم التمييز في ممارسة هذه الحقوق | نعم | نعم | - | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| الحق في الانسحاب من بيع المعلومات الشخصية | نعم | نعم | نعم | نعم | نعم | رقم | |||||||||||||||||||||||||||||||||||
| الاشتراك أو إلغاء الاشتراك في معالجة المعلومات الحساسة | انسحب | الاشتراك | - | الاشتراك | انسحب | الاشتراك | |||||||||||||||||||||||||||||||||||
| الحق في استئناف رفض الطلبات | رقم | رقم | - | نعم | رقم | رقم | |||||||||||||||||||||||||||||||||||
| المساءلة / الحكم | |||||||||||||||||||||||||||||||||||||||||
| تقييمات حماية البيانات | رقم | نعم | - | نعم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| حماية | |||||||||||||||||||||||||||||||||||||||||
| أمن البيانات المناسب لحماية المعلومات | رقم | نعم | - | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| إشعار الخرق | نعم | نعم | - | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| عمليات نقل البيانات خارج المنطقة الاقتصادية الأوروبية (EEA) | |||||||||||||||||||||||||||||||||||||||||
| إجراءات إضافية للتحويلات الدولية | نعم | نعم | - | رقم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| التحويلات إلى أطراف ثالثة | |||||||||||||||||||||||||||||||||||||||||
| المتطلبات التعاقدية في اتفاقيات مقدم الخدمة | رقم | نعم | - | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| تسويق | |||||||||||||||||||||||||||||||||||||||||
| الموافقة على ملفات تعريف الارتباط Adtech | رقم | رقم | - | نعم | نعم | نعم | |||||||||||||||||||||||||||||||||||
| تم الحصول على الموافقة قبل التسويق المباشر | رقم | نعم | - | رقم | رقم | نعم | |||||||||||||||||||||||||||||||||||
| وكالات الإنفاذ | |||||||||||||||||||||||||||||||||||||||||
| وزارة التجارة في ولاية يوتا | مدعي عام | - | مدعي عام | النائب العام CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| تاريخ العملية | |||||||||||||||||||||||||||||||||||||||||
| 31 ديسمبر 2023 | 1 يوليو 2023 | 1 أكتوبر 2019 | 1 يناير 2023 | 1 يناير 2020/1 يناير 2023 | 25 مايو 2018 | ||||||||||||||||||||||||||||||||||||
كما يتضح من الجدول أعلاه ، من المحتمل ألا تواجه الشركات التي تمتثل لـ CCPA و CPRA و VCDPA و CPA أي مشكلة في تلبية معايير UCPA.
يستخدم قانون حماية المستهلك UCPA تسميات "المتحكم" و "المعالج" في اللائحة العامة لحماية البيانات ولا يوفر للمستهلكين حقًا خاصًا في اتخاذ إجراء بشأن الانتهاكات المزعومة. مثل جميع اللوائح الحكومية الأخرى ، فإنه يضع المستهلكين في السيطرة على معلوماتهم الشخصية .
ومع ذلك ، فإنه يضع أيضًا بعض الفروق الحيوية.
على سبيل المثال ، لا تمنح UCPA المستهلكين الحق في تصحيح الأخطاء في بياناتهم الشخصية ، ولا تتطلب من المتحكمين إجراء تقييمات تأثير حماية البيانات (DPIAs) لعمليات معالجة محددة.
تفرض UCPA على الشركات المغطاة تزويد المستهلكين بإشعارات وفرصة لإلغاء الاشتراك قبل معالجة بياناتهم الحساسة.
يتناقض هذا مع VCDPA و CPA ، مما يتطلب إذن الاشتراك لجمع البيانات الحساسة ومعالجتها. علاوة على ذلك ، بدلاً من التوجه مباشرة إلى المدعي العام (AG) ، يتم توجيه شكاوى المستهلكين من خلال وزارة التجارة في ولاية يوتا ، والتي يمكنها إرسال المخاوف إلى AG.
أحكام رئيسية من UCPA
فيما يلي بعض الأحكام الرئيسية لـ UCPA.
تعريف واسع للبيانات الشخصية والبيانات الحساسة
وفقًا لـ UCPA ، فإن البيانات الشخصية هي أي معلومات تتعلق أو يمكن ربطها بشكل معقول بفرد محدد أو يمكن التعرف عليه. وهي تصنف أنواعًا محددة من البيانات على أنها "بيانات حساسة" ، والتي تخضع لمعايير وقيود إضافية لا تنطبق على الأنواع الأخرى من البيانات الشخصية.
حقوق أقل لصاحب البيانات
يتمتع المستهلكون بأربعة حقوق أساسية بموجب قانون حماية المستهلك الأمريكي:
- الحق في الوصول: الحق في معرفة ما إذا كانت وحدة التحكم تقوم بمعالجة البيانات الشخصية للمستهلك أم لا ولها حق الوصول إلى تلك البيانات.
- الحق في الحذف: حق المستهلك في حذف البيانات الشخصية الممنوحة إلى وحدة التحكم.
- الحق في قابلية النقل: الحق في الحصول على نسخة من البيانات الشخصية للمستهلك المقدمة مسبقًا إلى وحدة التحكم بتنسيق محمول يسهل الوصول إليه ، مما يسمح للمستهلكين بنقل البيانات إلى وحدة تحكم أخرى دون قيود.
- الحق في الانسحاب: الحق في رفض معالجة البيانات الشخصية "للإعلان المستهدف" و "البيع".
على الرغم من كل هذه الحقوق المهمة ، فإن UCPA ، على عكس قوانين الولاية الأخرى ، لا توفر للمستهلكين القدرة على تصحيح المعلومات الشخصية غير الدقيقة.
إخطارات خصوصية واضحة وسهلة الوصول
تتطلب UCPA أيضًا من وحدات التحكم تزويد المستهلكين بإشعار يجب أن يحتوي على المعلومات التالية على الأقل:
- أنواع البيانات الشخصية التي يعالجها المتحكم
- الأغراض التي من أجلها يتم التعامل مع فئات البيانات المختلفة
- كيف يمكن للعملاء ممارسة حقوقهم
- أنواع البيانات الشخصية التي يشاركها المتحكم ، إن وجد ، مع أطراف ثالثة
- الأطراف الثالثة التي يتبادل معها المتحكم البيانات الشخصية ، إن أمكن
اتفاقيات معالجة البيانات الأخف (DPAs)
تتضمن UCPA اتفاقيات معالجة بيانات أخف وتتطلب وحدة تحكم لربطها بمعالج. يقوم هذا المعالج بإدارة ومعالجة البيانات الشخصية لوحدة التحكم.
يجب أن تحدد الشروط التي تدخل فيها وحدة التحكم والمعالج:
- طبيعة الاتفاقية والغرض منها
- مدة المعالجة
- نوع موضوع البيانات
- حقوق والتزامات كل طرف
يجب على المعالجات أيضًا إلزام أي مقاولين من الباطن بالحفاظ على السرية والتكليف بهم فقط من خلال عقد موثق . يعتبر هذا العقد أن المقاول من الباطن هو معالج إذا كان يعتني بالبيانات نيابة عن المعالج.
على عكس قوانين الخصوصية الأخرى ، لا تتطلب UCPA شروط معالجة البيانات لتدقيق المعالجات أو تسمح لوحدات التحكم بإلغاء الاشتراك في التعاقد من الباطن مع معالج.
متطلبات الأمان المألوفة
يحتوي UCPA على قسم خاص بالأمن. وهي تحدد أن المتحكمين يستخدمون ممارسات أمن البيانات الإدارية والفنية والمادية المناسبة لتأمين البيانات الشخصية والقضاء على المخاطر المتوقعة لإلحاق الأذى بالمستهلكين بناءً على حجم المعالجة ونطاقها وحجمها وطبيعتها.
قائمة مراجعة امتثال UCPA الخاصة بـ Convert
يجب على المنظمات العاملة في ولاية يوتا أن تنظر في قانون حماية خصوصية المستهلك في الولايات المتحدة بنفس طريقة قوانين الولاية الأخرى. ومع ذلك ، قد يكون من الصعب تحديد كل مربع عندما يتعلق الأمر بالامتثال.
لمساعدة المؤسسات على تجاوز تعقيدات قانون حماية المستهلك ، قمنا بتجميع قائمة التحقق المفيدة هذه للامتثال.
إليك ما يجب أن تضعه في اعتبارك:
- تأكد من تغطية عملك من قبل UCPA . يجب على المنظمات تقييم ما إذا كانت تستوفي حد الولاية القضائية لـ UCPA ، بما في ذلك عتبة حجم البيانات المالية والبيانات.
- أعد النظر في سياسة الخصوصية الخاصة بك. قم بمراجعة سياسة الخصوصية الخاصة بك لتعكس معالجة البيانات الشخصية ، والتواصل مع حقوق المستهلك الإضافية ، وتحديد الوسائل المتاحة للعملاء لممارسة تلك الحقوق.
- استخدم ممارسات أمان البيانات المعقولة لحماية بياناتك. افحص سياسات وممارسات وضوابط الأمن السيبراني لديك للتأكد من أنها تلبي معايير الصناعة.
- السماح للزوار بإلغاء الاشتراك في معالجة بياناتهم الشخصية (إن أمكن). توفير وسيلة لسكان ولاية يوتا لممارسة حقهم في الانسحاب إذا كانت الشركة تبيع أو تستخدم معلوماتهم الشخصية للإعلان المستهدف.
- تنفيذ آلية جمع البيانات الحساسة. يجب ألا تجمع الشركات بيانات حساسة دون إعطاء تحذير للمستهلكين وفرصة لإلغاء الاشتراك. للامتثال لهذا الالتزام ، يجب على الشركات تنفيذ أنظمة إلغاء الاشتراك المناسبة.
- تلقي والرد على استفسارات العملاء على الفور. وضع إجراءات لقبول طلبات المستهلكين وتتبعها والإقرار بها وتلبية طلباتهم لممارسة حقوق الوصول إلى UCPA ومحوها.
تحويل يحترم جميع قوانين الخصوصية (الاتحاد الأوروبي + الولايات المتحدة)
يجب التعامل مع الامتثال لقوانين ولاية يوتا بنفس الطريقة التي يتم بها التعامل مع قوانين الولاية الأخرى ، مع تغييرات طفيفة في اللغة من أجل الوضوح بحيث تنطبق فقط على سكان ولاية يوتا. قد تتطلب UCPA استهدافًا جغرافيًا مختلفًا لرسائل إلغاء الاشتراك ، والتي يجب ذكرها صراحة.
يراقب التحويل عن كثب تشريعات خصوصية الدولة والأمن السيبراني. لمزيد من المعلومات حول "كيفية الاستعداد لـ UCPA" وقوانين الخصوصية الأمريكية الجديدة الأخرى ، راجع خارطة طريق GDPR .
