Nevada First State for Privacy Opt-Out Laws: 개종자는 얼마나 잘 준비되어 있습니까?

2019년 5월 29일, 네바다 주지사는 법률 SB 220에 서명했습니다.

이 법은 네바다주의 기존 보안 및 개인정보 보호법을 수정 하여 상업적 목적으로 웹사이트 또는 온라인 서비스 운영자가 소비자에 대해 수집했거나 수집할 개인 식별 정보의 판매를 소비자가 거부할 수 있도록 요구합니다 .

이 법은 캘리포니아 소비자 개인정보 보호법(CCPA)의 2020년 1월 1일 발효일 몇 달 전인 2019년 10월 1일에 발효되며, 따라서 미국에서 GDPR에 따라 최초로 시행될 예정입니다. EU.

SB 220은 Nevada의 기존 개인 정보 보호법에 대한 실질적인 수정으로 업계 전반에 새로운 도전 과제를 제시합니다. 표면적으로 이 법은 CCPA보다 범위가 좁고 "소비자"와 "판매"에 대한 더 좁은 정의를 포함하고 있으며 Gramm-Leach-Bliley Act("GLBA") 및 건강 보험 이동성 및 책임에 관한 법률("HIPPA")에 따른 대상 법인.

그럼에도 불구하고 CCPA 준수에 중점을 둔 회사는 이제 SB 220을 준수하도록 리소스를 전환해야 합니다.

다음은 CCPA와 네바다의 개정된 온라인 개인 정보 보호법을 높은 수준으로 비교한 것입니다.

SB 220 요구 사항

SB 220에는 4가지 주요 요구 사항이 있지만 몇 가지 주요 정의와 예외가 법의 적용을 규율합니다.

1. "운영자"는 "지정된 요청 주소"를 설정해야 하며, 이를 통해 소비자는 운영자에게 소비자에 대해 수집된 "해당 정보"를 판매하지 않도록 지시하는 "확인된 요청"을 제출할 수 있습니다.
2. 소비자는 언제든지 지정된 요청 주소를 통해 확인된 요청을 제출하여 운영자가 소비자에 대해 수집한 해당 정보를 판매하지 않도록 지시할 수 있습니다.
3. 확인된 요청을 받은 운영자는 운영자가 소비자에 대해 수집했거나 수집할 대상 정보를 판매하는 것이 금지됩니다.
4. 운영자는 60일 이내에 소비자의 확인된 요청에 응답해야 합니다. 운영자는 (a) 운영자가 그러한 연장이 합리적으로 필요하다고 결정하는 경우 응답 기간을 30일 이하로 연장할 수 있습니다. (b) 응답 기간을 연장하는 운영자는 그러한 연장을 소비자에게 통지합니다.

네바다 개인 정보 보호법과 그 요구 사항을 준수하기 위해 Convert가 무엇을 하고 있는지 살펴볼까요?

네바다 소비자는 개인 정보 판매를 거부할 권리가 있습니다

CCPA의 경우와 마찬가지로 네바다 소비자는 웹사이트 또는 온라인 서비스를 통해 수집된 다음 항목을 포함하는 "해당 정보"의 판매를 거부할 수 있습니다.

• 성과 이름.
• 거리 이름과 도시 또는 마을 이름을 포함하는 집 또는 기타 물리적 주소.
• 전자 메일(이메일) 주소입니다.
• 전화번호입니다.
• 사회 보장 번호입니다.
• 특정 사람이 물리적으로 또는 온라인으로 연락할 수 있도록 하는 식별자입니다.
• 운영자의 인터넷 웹사이트 또는 온라인 서비스를 통해 개인으로부터 수집된 개인에 관한 기타 모든 정보와 개인을 식별할 수 있는 형식의 식별자와 함께 운영자가 유지 관리하는 정보.

많은 조직에서 판매하는 정보와 정보가 있는 위치에 대한 가시성이 거의 없습니다.

Convert에서는 GDPR 데이터 최소화 원칙을 통해 이에 대비했습니다. 수백 명의 웹사이트 방문자를 방문자의 존재 여부 만 계산하는 방문자 그룹 으로 그룹화하여 추적 시 방문자 ID를 익명화했습니다.

개별 방문자는 경험 변환에 저장되지 않습니다. 어떤 식으로든 그룹 수를 개별 방문자에게 다시 연결할 수 없습니다.

GDPR은 우리가 Convert에 저장한 내용과 점점 더 개인 정보 중심적인 환경에서 이를 유지하기 위한 사용 사례를 자세히 살펴볼 수 있는 기회를 제공했습니다.

조직은 지정된 요청 주소를 설정해야 합니다.

네바다 주의 새로운 법은 법의 범위 내에서 조직은 " 소비자가 확인된 요청을 제출할 수 있는 지정된 요청 주소를 설정해야 한다"고 명시하고 있습니다.

Convert에서는 [email protected] 주소를 사용하여 옵트아웃 요청을 접수하고 확인하며 이는 GDPR 이후로 유지되었습니다. 이러한 요청은 중앙 대기열로 보내지며 데이터 보호 담당자는 시행 중인 GDPR 및 기타 개인 정보 보호법의 요구 사항에 따라 적시에 응답합니다.

확인된 요청은 60일 이내에 응답해야 함

GDPR은 조직에 소비자의 요청에 응답할 수 있는 30일을 부여하는 반면 CCPA는 45일에 더 관대합니다.

Nevada 법은 이 일정을 60일로 더 연장하는 동시에 조직에 합리적으로 필요한 경우 30일 연장할 수 있는 권리를 부여합니다. 세 가지 법률은 서로 다른 연장 제도를 가지고 있으며 운영자가 다른 시간 창에서 소비자에게 알릴 것을 요구합니다.

Convert는 GDPR 30일 응답을 준비했으며 지금까지 모든 요청을 성공적으로 충족하여 필수 60일 기간 내에 네바다의 요청에 쉽게 응답할 수 있습니다.

응답하기 전에 요청을 확인해야 함

GDPR 및 CCPA의 경우와 마찬가지로 조직은 요청에 응답하기 전에 소비자의 신원을 확인해야 합니다.

또한 Convert는 소비자만 알 수 있는 보안 첨부 파일을 통해 ID를 제출하여 소비자가 옵트아웃 요청을 제출할 때 이러한 확인을 용이하게 합니다.

Convert는 모든 개인정보 보호법(EU + US)을 중요하게 생각합니다.

다른 주에서 개인 정보 보호 법안이 지연되거나 실패했지만 네바다의 SB-220 통과는 디지털 세계에서 법적 및 규제 의무 준수를 유지하는 것이 가까운 미래에 여전히 도전 과제로 남아 있음을 상기시켜줍니다.

우리는 CCPA에서 영감을 받은 법안의 일부 형태가 아직 고려 중이며(오레곤, 텍사스, 메인, 유타) 모두 기능하는 환경에서 운영될 준비가 되어 있는 다른 여러 주를 보고 있습니다.

Convert는 당사의 모든 데이터 처리 작업과 데이터가 전송되는 제3자를 잘 처리합니다.

CCPA 및 잠재적인 기타 새로운 미국 개인정보 보호법을 준비하는 방법에 대한 자세한 내용은 GDPR 로드맵을 참조하세요.