유타: 데이터 개인정보 보호법을 통과시킨 또 다른 주, UCPA

2022년 3월, 유타 주지사 Spencer J. Cox는 유타 소비자 개인 정보 보호법(UCPA) 으로도 알려진 상원 법안(SB) 227에 서명했습니다.

UCPA는 유타주 소비자에게 개인 정보에 대한 상당한 개인 정보 보호 권리를 부여하는 산업 전반의 개인 정보 보호법입니다. 식별되거나 식별 가능한 개인과 연결된 모든 데이터를 개인 데이터 라고 합니다. 보다 정확하게 정의된 "민감한 데이터" 범주에는 추가 규정 준수 요구 사항이 적용됩니다. 이 법은 2023년 12월 31일부터 시행된다.

UCPA는 캘리포니아, 버지니아, 네바다 및 콜로라도 소비자 개인정보 보호법과 유사하지만 동일하지는 않습니다. VCDPA(Virginia Consumer Data Protection Act)에서 크게 영감을 받았으며 일부 VCDPA와 유사한 요소는 Colorado Privacy Act에서도 찾을 수 있습니다.

언뜻 보기에 UCPA의 특정 기능은 캘리포니아 소비자 개인정보 보호법(CCPA)과 유사해 보입니다. 그러나 실제로 는 이전 제품보다 소비자 개인 정보에 대한 더 부드럽고 비즈니스 친화적인 접근 방식 입니다.

UCPA는 다른 주 개인 정보 보호법과 어떻게 다른가요?

다음은 UCPA 조항을 다음과 같은 수준으로 비교한 것입니다.

• 콜로라도 개인 정보 보호법(CPA)
• 네바다 주 개인정보 보호법(SB200)
• VCDPA
• CCPA(California Privacy Rights Act(CPRA)에 의해 수정됨)
• 일반 데이터 보호 규정(GDPR)

위의 표에서 알 수 있듯이 CCPA, CPRA, VCDPA 및 CPA를 준수하는 회사는 UCPA의 기준을 충족하는 데 문제가 없을 것입니다.

UCPA는 GDPR의 "컨트롤러" 및 "프로세서" 명명법을 사용하며 소비자에게 위반 혐의에 대한 개인 소송 권한을 제공하지 않습니다. 다른 모든 정부 규정과 마찬가지로 이 규정 은 소비자가 자신의 개인 정보를 관리하도록 합니다 .

그러나 그것은 또한 몇 가지 중요한 구별을 합니다.

예를 들어, UCPA 는 소비자에게 개인 데이터의 오류를 수정할 권리를 부여하지 않으며 컨트롤러가 특정 처리 작업에 대한 데이터 보호 영향 평가(DPIA)를 수행하도록 요구하지도 않습니다.

UCPA는 해당 기업이 민감한 데이터를 처리하기 전에 소비자에게 통지와 선택 해제 기회를 제공하도록 의무화하고 있습니다.

이는 VCDPA 및 CPA와 대조되며 민감한 데이터를 수집하고 처리하려면 옵트인 권한이 필요합니다. 또한, 소비자 불만은 법무 장관(AG)에게 직접 가는 대신 유타 상무부를 통해 전달되며, AG에 우려 사항을 제출할 수 있습니다.

UCPA의 주요 조항

다음은 UCPA의 몇 가지 주요 조항입니다.

개인 데이터 및 민감한 데이터의 광범위한 정의

UCPA에 따르면 개인 데이터는 식별되거나 식별 가능한 개인과 관련되거나 합리적으로 연결될 수 있는 모든 정보입니다. 특정 유형의 데이터를 "민감한 데이터"로 분류하며, 다른 유형의 개인 데이터에는 적용되지 않는 추가 표준 및 제한 사항이 적용됩니다.

데이터 주체 권리 감소

소비자는 UCPA에 따라 4가지 기본 권리가 있습니다.

1. 액세스 권한: 컨트롤러가 소비자의 개인 데이터를 처리하고 있는지 여부를 알고 해당 데이터에 액세스할 수 있는 권리.
2. 삭제할 권리: 컨트롤러에 제공된 개인 데이터를 삭제할 수 있는 소비자의 권리.
3. 이식성 권리: 이전에 컨트롤러에 제공되었던 소비자 개인 데이터의 사본을 휴대 가능하고 쉽게 액세스할 수 있는 형식으로 얻을 수 있는 권리로, 소비자가 데이터를 제한 없이 다른 컨트롤러에 전송할 수 있습니다.
4. 거부권: "타겟 광고" 및 "판매"를 위한 개인 데이터 처리를 거부할 권리.

이러한 모든 중요한 권리에도 불구하고 UCPA는 다른 주법과 달리 소비자에게 부정확한 개인 정보를 수정할 수 있는 기능을 제공하지 않습니다.

접근 가능하고 명확한 개인 정보 보호 고지

UCPA는 또한 컨트롤러가 소비자에게 최소한 다음 정보가 포함된 통지를 제공할 것을 요구합니다.

• 컨트롤러가 처리하는 개인 데이터 유형
• 다양한 데이터 범주가 처리되는 목적
• 고객이 권리를 행사하는 방법
• 컨트롤러 가 제3자와 공유 하는 개인 데이터의 유형(있는 경우)
• 컨트롤러가 개인 데이터를 교환하는 제3자 (해당되는 경우)

라이터 데이터 처리 계약(DPA)

UCPA에는 더 가벼운 데이터 처리 계약이 포함되어 있으며 컨트롤러가 프로세서와 연결해야 합니다. 이 프로세서는 컨트롤러의 개인 데이터를 관리하고 처리합니다.

컨트롤러와 프로세서가 체결하는 조건은 다음을 지정해야 합니다.

• 계약의 성격과 목적
• 처리 기간
• 데이터 주체의 유형
• 각 당사자의 권리와 의무

프로세서는 또한 하청업체에게 기밀을 유지하고 문서화된 계약을 통해서만 위탁하도록 의무화 해야 합니다. 이 계약은 처리자를 대신하여 데이터를 처리하는 경우 하청업체를 처리자로 간주합니다.

다른 개인 정보 보호법과 달리 UCPA는 프로세서를 감사하거나 컨트롤러가 프로세서에 대한 하청 계약을 거부할 수 있도록 데이터 처리 조건을 요구하지 않습니다.

친숙한 보안 요구 사항

UCPA에는 보안 섹션이 있습니다. 컨트롤러가 적절한 관리, 기술 및 물리적 데이터 보안 관행을 사용하여 개인 데이터를 보호 하고 처리의 크기, 범위, 양 및 특성에 따라 소비자에게 예상 가능한 피해 위험을 제거하도록 지정합니다.

Convert의 UCPA 규정 준수 체크리스트

유타에서 운영되는 조직은 다른 주법과 동일한 방식으로 UCPA를 고려해야 합니다. 그러나 규정 준수와 관련하여 모든 확인란을 선택하는 것은 어려울 수 있습니다.

조직이 UCPA의 복잡성을 탐색할 수 있도록 이 편리한 규정 준수 체크리스트를 작성했습니다.

명심해야 할 사항은 다음과 같습니다.

1. 귀하의 비즈니스가 UCPA의 적용을 받는지 확인하십시오 . 조직은 재무 및 데이터 볼륨 임계값을 포함하여 UCPA의 관할 임계값을 충족하는지 평가해야 합니다.
2. 귀하의 개인 정보 보호 정책을 재고하십시오. 개인 데이터 처리, 추가 소비자 권리 전달, 소비자가 이러한 권리를 행사할 수 있는 수단 식별을 반영하도록 개인 정보 보호 정책을 수정하십시오.
3. 합리적인 데이터 보안 관행을 사용하여 데이터를 보호하십시오. 사이버 보안 정책, 관행 및 통제를 검토하여 업계 표준을 충족하는지 확인하십시오.
4. 방문자가 개인 데이터 처리를 거부할 수 있도록 허용합니다(해당되는 경우). 회사가 표적 광고를 위해 개인 정보를 판매하거나 사용하는 경우 유타 주민이 거부할 권리를 행사할 수 있는 방법을 제공합니다.
5. 민감한 데이터 수집 메커니즘을 구현합니다. 기업은 소비자에게 경고와 선택 해제 기회를 주지 않고 민감한 데이터를 수집해서는 안 됩니다. 이 의무를 준수하기 위해 회사는 적절한 옵트아웃 시스템을 구현해야 합니다.
6. 소비자의 문의를 신속하게 접수하고 답변합니다. UCPA 액세스 및 삭제 권한을 행사하려는 소비자 요청을 수락, 추적, 승인 및 이행하기 위한 절차를 개발합니다.

Convert는 모든 개인정보 보호법을 준수합니다(EU + US)

유타 주법 준수는 다른 주법과 동일한 방식으로 처리되어야 하며, 유타 주 거주자에게만 적용됨을 명확히 하기 위해 약간의 언어 변경이 필요합니다. UCPA는 명시적으로 명시되어야 하는 옵트아웃 메시지의 다른 지역 타겟팅을 요구할 수 있습니다.

Convert는 주 개인 정보 보호 및 사이버 보안 법률을 면밀히 주시합니다. "UCPA 준비 방법" 및 기타 새로운 미국 개인정보 보호법에 대한 자세한 내용은 GDPR 로드맵 을 참조하십시오.