Utah: Ein weiterer Staat zur Verabschiedung eines Datenschutzgesetzes, des UCPA
Veröffentlicht: 2022-05-31
Im März 2022 unterzeichnete der Gouverneur von Utah, Spencer J. Cox, das Senate Bill (SB) 227, auch bekannt als Utah Consumer Privacy Act (UCPA) .
Der UCPA ist ein branchenübergreifendes Datenschutzgesetz, das den Verbrauchern in Utah erhebliche Datenschutzrechte in Bezug auf ihre personenbezogenen Daten einräumt. Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, werden als personenbezogene Daten bezeichnet. Für genauer definierte Kategorien „sensibler Daten“ gelten zusätzliche Compliance-Anforderungen. Das Gesetz tritt am 31.12.2023 in Kraft.
Der UCPA ist ähnlich, aber nicht identisch mit den Datenschutzgesetzen für Verbraucher in Kalifornien, Virginia, Nevada und Colorado. Es ist stark vom Virginia Consumer Data Protection Act (VCDPA) inspiriert, und einige VCDPA-ähnliche Elemente finden sich auch im Colorado Privacy Act.
Auf den ersten Blick ähneln bestimmte Merkmale des UCPA dem California Consumer Privacy Act (CCPA). In der Praxis handelt es sich jedoch um einen weicheren, unternehmensfreundlicheren Ansatz zum Schutz der Privatsphäre von Verbrauchern als seine Vorgänger .
Wie unterscheidet sich UCPA von anderen staatlichen Datenschutzgesetzen?
Hier ist ein Vergleich der UCPA-Bestimmungen auf hoher Ebene mit denen von
- Das Colorado-Datenschutzgesetz (CPA)
- Das Datenschutzgesetz des Staates Nevada (SB200)
- VCDPA
- CCPA (geändert durch das California Privacy Rights Act (CPRA))
- Die Datenschutz-Grundverordnung (DSGVO)
| Wichtige Bestimmungen | Utah UCPA | Colorado CPA | Nevada SB220 | Virginia CDPA | Kalifornien CCPA + CPRA | Europa DSGVO | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Verarbeitungsfähigkeit | |||||||||||||||||||||||||||||||||||||||||
| Datenminimierung | Ja | Ja | – | Ja | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Zulässiger Zweck | Ja | Ja | – | Ja | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Individual Rechte | |||||||||||||||||||||||||||||||||||||||||
| Recht auf Mitteilung über Verarbeitungstätigkeiten | Ja | Ja | Ja | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Recht auf Zugang zu personenbezogenen Daten | Ja | Ja | – | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Recht auf Datenübertragbarkeit. Daten sollten in einem leicht verwendbaren Format für die Übertragung von einer Entität/Plattform zu einer anderen verfügbar sein. | Ja | Ja | . | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Recht auf Berichtigung von Fehlern in personenbezogenen Daten | Nein | Ja | – | Ja | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Recht auf Löschung personenbezogener Daten | Ja | Ja | – | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Recht auf Deaktivierung von verhaltensbasierter Werbung | Ja | Nein | – | Ja | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Widerspruchsrecht gegen automatisierte Profilerstellung und Entscheidungsfindung | Ja | Nein | – | Ja | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Recht auf Nichtdiskriminierung bei der Ausübung dieser Rechte | Ja | Ja | – | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Recht auf Widerspruch gegen den Verkauf personenbezogener Daten | Ja | Ja | Ja | Ja | Ja | Nein | |||||||||||||||||||||||||||||||||||
| Opt-in oder Opt-out für die Verarbeitung sensibler Informationen | Ablehnen | Anmelden | – | Anmelden | Ablehnen | Anmelden | |||||||||||||||||||||||||||||||||||
| Recht auf Beschwerde gegen die Ablehnung von Anträgen | Nein | Nein | – | Ja | Nein | Nein | |||||||||||||||||||||||||||||||||||
| Rechenschaftspflicht/Governance | |||||||||||||||||||||||||||||||||||||||||
| Datenschutzbewertungen | Nein | Ja | – | Ja | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Sicherheit | |||||||||||||||||||||||||||||||||||||||||
| Angemessene Datensicherheit zum Schutz von Informationen | Nein | Ja | – | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Benachrichtigung bei Verletzung | Ja | Ja | – | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Datenübertragungen außerhalb des Europäischen Wirtschaftsraums (EWR) | |||||||||||||||||||||||||||||||||||||||||
| Zusätzliche Maßnahmen für internationale Überweisungen | Ja | Ja | – | Nein | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Übertragungen an Dritte | |||||||||||||||||||||||||||||||||||||||||
| Vertragliche Anforderungen in Dienstleistungsverträgen | Nein | Ja | – | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||
| Einwilligung für Adtech-Cookies | Nein | Nein | – | Ja | Ja | Ja | |||||||||||||||||||||||||||||||||||
| Einwilligung vor Direktmarketing eingeholt | Nein | Ja | – | Nein | Nein | Ja | |||||||||||||||||||||||||||||||||||
| Strafverfolgungsbehörden | |||||||||||||||||||||||||||||||||||||||||
| Handelsministerium von Utah | Generalstaatsanwalt | – | Generalstaatsanwalt | Generalstaatsanwalt, CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Operatives Datum | |||||||||||||||||||||||||||||||||||||||||
| 31. Dezember 2023 | 1. Juli 2023 | 1. Oktober 2019 | 1. Januar 2023 | 1. Januar 2020/ 1. Januar 2023 | 25. Mai 2018 | ||||||||||||||||||||||||||||||||||||
Wie aus der obigen Tabelle hervorgeht, werden Unternehmen, die CCPA, CPRA, VCDPA und CPA erfüllen, wahrscheinlich keine Probleme haben, die Kriterien der UCPA zu erfüllen.
Die UCPA verwendet die Nomenklatur „Verantwortlicher“ und „Auftragsverarbeiter“ der DSGVO und bietet Verbrauchern kein privates Klagerecht bei mutmaßlichen Verstößen. Wie alle anderen staatlichen Vorschriften gibt es den Verbrauchern die Kontrolle über ihre persönlichen Daten .
Allerdings macht es auch einige wichtige Unterscheidungen.
Beispielsweise gibt der UCPA Verbrauchern weder das Recht, Fehler in ihren personenbezogenen Daten korrigieren zu lassen , noch verlangt er von den Verantwortlichen, Datenschutz-Folgenabschätzungen (DPIAs) bestimmter Verarbeitungsvorgänge durchzuführen.
UCPA schreibt betroffenen Unternehmen vor, Verbrauchern Mitteilungen und die Möglichkeit zum Opt-out bereitzustellen, bevor sie ihre sensiblen Daten verarbeiten.
Dies steht im Gegensatz zu VCDPA und CPA, die eine Opt-in-Erlaubnis zum Sammeln und Verarbeiten sensibler Daten erfordern. Anstatt direkt zum Attorney General (AG) zu gehen, werden Verbraucherbeschwerden über das Utah Department of Commerce weitergeleitet, das Bedenken an den AG richten kann.
Schlüsselbestimmungen des UCPA
Hier sind einige wichtige Bestimmungen des UCPA.
Breite Definition von personenbezogenen Daten und sensiblen Daten
Gemäß dem UCPA sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen oder vernünftigerweise mit ihr verknüpft werden können. Es klassifiziert bestimmte Arten von Daten als „sensible Daten“, die zusätzlichen Standards und Einschränkungen unterliegen, die für andere Arten personenbezogener Daten nicht gelten.
Weniger Rechte betroffener Personen
Verbraucher haben im Rahmen des UCPA vier Grundrechte:
- Auskunftsrecht: Das Recht zu erfahren, ob ein Verantwortlicher die personenbezogenen Daten des Verbrauchers verarbeitet oder nicht, und Zugang zu diesen Daten zu haben.
- Recht auf Löschung: Das Recht des Verbrauchers, personenbezogene Daten, die er dem Verantwortlichen gegeben hat, löschen zu lassen.
- Recht auf Übertragbarkeit: Das Recht, eine Kopie der personenbezogenen Daten des Verbrauchers zu erhalten, die zuvor dem für die Verarbeitung Verantwortlichen bereitgestellt wurden, in einem übertragbaren und leicht zugänglichen Format, das es den Verbrauchern ermöglicht, die Daten ohne Einschränkungen an einen anderen für die Verarbeitung Verantwortlichen zu übertragen.
- Opt-out-Recht: Das Recht, die Verarbeitung personenbezogener Daten für „gezielte Werbung“ und „Verkauf“ abzulehnen.
Trotz all dieser wichtigen Rechte bietet der UCPA im Gegensatz zu anderen staatlichen Gesetzen Verbrauchern nicht die Möglichkeit, ungenaue persönliche Informationen korrigieren zu lassen.
Zugängliche und klare Datenschutzhinweise
UCPA verlangt auch, dass Verantwortliche den Verbrauchern eine Mitteilung zukommen lassen, die mindestens die folgenden Informationen enthalten sollte:
- Die Arten personenbezogener Daten, die der Verantwortliche verarbeitet
- Die Zwecke , für die die verschiedenen Datenkategorien verarbeitet werden
- Wie Kunden ihre Rechte ausüben können
- Die Arten personenbezogener Daten, die der Verantwortliche gegebenenfalls an Dritte weitergibt
- Dritte, mit denen der Verantwortliche ggf. personenbezogene Daten austauscht
Leichtere Datenverarbeitungsvereinbarungen (DPAs)
Der UCPA enthält leichtere Datenverarbeitungsvereinbarungen und verlangt, dass sich ein Verantwortlicher mit einem Auftragsverarbeiter zusammenschließt. Dieser Auftragsverarbeiter verwaltet und verarbeitet personenbezogene Daten für den Verantwortlichen.
Die Bedingungen, die der Verantwortliche und der Auftragsverarbeiter eingehen, sollten Folgendes festlegen:
- Art und Zweck der Vereinbarung
- Bearbeitungsdauer
- Die Art der betroffenen Person
- Die Rechte und Pflichten jeder Partei
Auftragsverarbeiter sollten auch allfällige Subunternehmer zur Geheimhaltung verpflichten und diese nur durch einen dokumentierten Vertrag beauftragen . Dieser Vertrag betrachtet den Subunternehmer als Auftragsverarbeiter, wenn er sich um die Daten im Auftrag eines Auftragsverarbeiters kümmert.
Im Gegensatz zu anderen Datenschutzgesetzen verlangt der UCPA keine Datenverarbeitungsbedingungen, um Auftragsverarbeiter zu prüfen oder es den Verantwortlichen zu ermöglichen, sich gegen die Unterbeauftragung eines Auftragsverarbeiters zu entscheiden.
Vertraute Sicherheitsanforderungen
Die UCPA hat einen Abschnitt über Sicherheit. Es legt fest, dass Verantwortliche angemessene administrative, technische und physische Datensicherheitsverfahren anwenden, um personenbezogene Daten zu sichern und vorhersehbare Schadensrisiken für Verbraucher basierend auf Größe, Umfang, Umfang und Art der Verarbeitung zu beseitigen.
Converts UCPA-Compliance-Checkliste
Organisationen, die in Utah tätig sind, sollten den UCPA auf die gleiche Weise berücksichtigen wie andere staatliche Gesetze. Es kann jedoch schwierig sein, jedes Kästchen anzukreuzen, wenn es um Compliance geht.
Um Organisationen dabei zu helfen, sich in den Feinheiten des UCPA zurechtzufinden, haben wir diese praktische Compliance-Checkliste zusammengestellt.
Folgendes müssen Sie beachten:
- Stellen Sie sicher, dass Ihr Unternehmen vom UCPA abgedeckt ist . Organisationen müssen beurteilen, ob sie die Zuständigkeitsschwelle des UCPA erfüllen, einschließlich der Schwelle für Finanzen und Datenvolumen.
- Überdenken Sie Ihre Datenschutzerklärung. Überarbeiten Sie Ihre Datenschutzrichtlinie, um die Verarbeitung personenbezogener Daten widerzuspiegeln, zusätzliche Verbraucherrechte zu kommunizieren und Mittel zu identifizieren, mit denen Verbraucher diese Rechte ausüben können.
- Verwenden Sie angemessene Datensicherheitspraktiken, um Ihre Daten zu schützen. Untersuchen Sie Ihre Cybersicherheitsrichtlinien, -praktiken und -kontrollen, um sicherzustellen, dass sie den Industriestandards entsprechen.
- Ermöglichen Sie Besuchern, die Verarbeitung ihrer personenbezogenen Daten abzulehnen (falls zutreffend). Bereitstellung einer Möglichkeit für Einwohner von Utah, ihr Recht auszuüben, sich abzumelden, wenn ein Unternehmen ihre personenbezogenen Daten für gezielte Werbung verkauft oder verwendet.
- Implementieren Sie einen Mechanismus zum Sammeln sensibler Daten. Unternehmen dürfen keine sensiblen Daten sammeln, ohne den Verbrauchern eine Warnung und die Möglichkeit zu geben, sich abzumelden. Um dieser Verpflichtung nachzukommen, sollten Unternehmen geeignete Opt-out-Systeme implementieren.
- Verbraucheranfragen umgehend erhalten und beantworten. Entwickeln Sie Verfahren zum Akzeptieren, Verfolgen, Bestätigen und Erfüllen von Verbraucheranfragen zur Ausübung ihrer UCPA-Zugriffs- und Löschungsrechte.
Convert respektiert alle Datenschutzgesetze (EU + US)
Die Einhaltung der Gesetze von Utah sollte genauso gehandhabt werden wie die Gesetze anderer Bundesstaaten, mit geringfügigen sprachlichen Änderungen, um klarzustellen, dass sie nur für Einwohner von Utah gelten. Der UCPA kann ein anderes Geo-Targeting von Opt-out-Nachrichten verlangen, was ausdrücklich angegeben werden muss.
Convert behält die staatliche Datenschutz- und Cybersicherheitsgesetzgebung genau im Auge. Weitere Informationen zur „Vorbereitung auf den UCPA“ und andere neue US-Datenschutzgesetze finden Sie in unserer DSGVO-Roadmap .
