Ustawa o ochronie danych Connecticut: w jaki sposób zapewniamy zgodność konwersji?
Opublikowany: 2022-07-13
Wraz z wprowadzeniem Connecticut SB 6, powszechnie nazywanej ustawą o ochronie danych Connecticut lub „CTDPA” , Connecticut dołączył do szeregu stanów USA, takich jak Kalifornia, Wirginia, Kolorado, Nevada i Utah, które uchwaliły kompleksowe przepisy dotyczące prywatności w celu ochrony osób fizycznych. informacje osobiste.
Pomimo przepisów dotyczących prywatności i bezpieczeństwa danych obowiązujących w Stanach Zjednoczonych od dziesięcioleci, przepisy te miały wcześniej zastosowanie tylko do określonych firm, obszarów i typów danych.
Te nowe regulacje państwowe, zamiast ściśle ograniczać niektóre formy przetwarzania danych, wzmacniają rosnący trend szerszej ochrony praw osób fizycznych do prywatności.
Coraz więcej stanów USA uchwala przepisy regulujące postępowanie z informacjami online. Sprawdź nasze oceny przepisów dotyczących prywatności w
- Utah,
- Kalifornia,
- Wirginia,
- Nevadzie,
- Kolorado
Różnica między Connecticut SB 6 a innymi przepisami dotyczącymi prywatności
Poniżej znajduje się podział przepisów Connecticut SB 6 w porównaniu z przepisami
- Ustawa o prywatności konsumentów stanu Utah (UCPA)
- Ustawa o prywatności w stanie Kolorado (CPA)
- Ustawa o prywatności w stanie Nevada (SB200)
- Wirginia VCDPA
- CCPA (zmieniona ustawą California Privacy Rights Act (CPRA))
- Ogólne europejskie rozporządzenie o ochronie danych (RODO)
| Kluczowe postanowienia | Connecticut SB6 | Utah UCPA | Kolorado CPA | Nevada SB220 | Wirginia CDPA | Kalifornia CCPA + CPRA | Europa RODO | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Zdolność do przetwarzania | |||||||||||||||||||||||||||||||||||||||||||||||
| Minimalizacja danych | TAk | TAk | TAk | – | TAk | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Dopuszczalny cel | TAk | TAk | TAk | – | TAk | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Indywidualne prawa | |||||||||||||||||||||||||||||||||||||||||||||||
| Prawo do otrzymania powiadomienia o czynnościach przetwarzania | TAk | TAk | TAk | TAk | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo dostępu do danych osobowych | TAk | TAk | TAk | – | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo do przenoszenia danych. Dane powinny być dostępne w łatwym do użytku formacie do przenoszenia z jednego podmiotu/platformy do drugiego. | TAk | TAk | TAk | . | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo do poprawiania błędów w danych osobowych | TAk | Nie | TAk | – | TAk | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo do usunięcia danych osobowych | TAk | TAk | TAk | – | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo do rezygnacji z reklamy behawioralnej | TAk | TAk | Nie | – | TAk | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo do sprzeciwu wobec automatycznego profilowania i podejmowania decyzji | TAk | TAk | Nie | – | TAk | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo do niedyskryminacji w korzystaniu z tych praw | TAk | TAk | TAk | – | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Prawo do rezygnacji ze sprzedaży danych osobowych | TAk | TAk | TAk | TAk | TAk | TAk | Nie | ||||||||||||||||||||||||||||||||||||||||
| Zgoda lub rezygnacja z przetwarzania poufnych informacji | Rezygnacja | Rezygnacja | Zaakceptuj | – | Zaakceptuj | Rezygnacja | Zaakceptuj | ||||||||||||||||||||||||||||||||||||||||
| Prawo do odwołania od odmowy wniosków | TAk | Nie | Nie | – | TAk | Nie | Nie | ||||||||||||||||||||||||||||||||||||||||
| Odpowiedzialność/Zarządzanie | |||||||||||||||||||||||||||||||||||||||||||||||
| Oceny ochrony danych | TAk | Nie | TAk | – | TAk | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Bezpieczeństwo | |||||||||||||||||||||||||||||||||||||||||||||||
| Odpowiednie bezpieczeństwo danych w celu ochrony informacji | TAk | Nie | TAk | – | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Powiadomienie o naruszeniu | TAk | TAk | TAk | – | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG) | |||||||||||||||||||||||||||||||||||||||||||||||
| Dodatkowe środki dla przelewów międzynarodowych | TAk | TAk | TAk | – | Nie | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Przelewy na rzecz osób trzecich | |||||||||||||||||||||||||||||||||||||||||||||||
| Wymagania umowne w umowach z dostawcami usług | TAk | Nie | TAk | – | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||||||||
| Zgoda na pliki cookie Adtech | TAk | Nie | Nie | – | TAk | TAk | TAk | ||||||||||||||||||||||||||||||||||||||||
| Zgoda uzyskana przed marketingiem bezpośrednim | TAk | Nie | TAk | – | Nie | Nie | TAk | ||||||||||||||||||||||||||||||||||||||||
| Agencje egzekucyjne | |||||||||||||||||||||||||||||||||||||||||||||||
| Prokurator Generalny | Departament Handlu Utah | Prokurator Generalny | – | Prokurator Generalny | Prokurator Generalny, CPPA | DPA | |||||||||||||||||||||||||||||||||||||||||
| Data operacyjna | |||||||||||||||||||||||||||||||||||||||||||||||
| 1 lipca 2023 | 31 grudnia 2023 | 1 lipca 2023 | 1 października 2019 | 1 stycznia 2023 | 1 stycznia 2020/ 1 stycznia 2023 | 25 maja 2018 | |||||||||||||||||||||||||||||||||||||||||
Wydaje się, że pojawia się wzorzec w podejściu ustawodawców stanowych do szerokich przepisów dotyczących ochrony prywatności, co ilustruje powyższa tabela.
Connecticut SB 6 przyjmuje praktycznie dosłowne sekcje ustaw stanu Kolorado i Wirginii, w tym jak zdefiniować dane osobowe, jak postępować z poufnymi danymi osobowymi i kiedy przeprowadzać oceny wpływu ochrony danych.
Jakie są kluczowe postanowienia SB 6 w Connecticut?
Oto niektóre z najważniejszych postanowień Connecticut SB 6:
1. Te same prawa do prywatności, co inne przepisy stanowe
Ustawa o ochronie danych Connecticut ustanawia zestaw indywidualnych praw do prywatności, które są podobne do tych, które można znaleźć w stanach Utah UCPA, Colorado CPA, Virginia VCDPA i California CCPA/CPRA.
Prawa te obejmują przeglądanie, poprawianie, kopiowanie i usuwanie danych osobowych.
Konsumenci mogą również zrezygnować z przetwarzania ich danych osobowych w celach reklamowych, sprzedaży danych i budowania profilu.
SB 6, podobnie jak inne stanowe przepisy dotyczące prywatności, obejmuje system opt-in dla rodzaju przetwarzania danych dotyczących dzieci w wieku od 13 do 16 lat.
2. Prośby o prywatność bez aprobaty technicznej
Jeśli chodzi o sposób składania i obsługi wniosków o prawa do prywatności, nowe prawo Connecticut bardziej przypomina CPA stanu Kolorado niż prawo stanu Virginia.
Connecticut dołącza do Kalifornii i Kolorado, wymagając od firm oferowania klientom opcji rezygnacji z ukierunkowanej reklamy lub sprzedaży za pomocą pewnego rodzaju mechanizmu technicznego. Jednak w przeciwieństwie do Kalifornii i Kolorado, Connecticut SB 6 nie wymaga zatwierdzenia wymagań dotyczących mechanizmu technicznego przez regulatora stanowego.
3. Szeroka definicja sprzedaży danych osobowych
Zgodnie z Connecticut SB 6 „sprzedaż danych osobowych” oznacza wymianę danych osobowych na pieniądze lub inne cenne korzyści ze stroną trzecią.
Uwzględniając „cenne wynagrodzenie” wraz z wynagrodzeniem, SB 6 podaje bardziej wszechstronną definicję sprzedaży, podobną do definicji kalifornijskich CCPA i Colorado CPA.
Istnieje kilka wyjątków od definicji sprzedaży danych osobowych, w tym ujawnienie danych osobowych na żądanie konsumenta, ujawnienie wewnątrz firmy oraz ujawnienie lub przekazanie danych osobowych podmiotowi trzeciemu, które ma miejsce w kontekście przejęcia, upadłości, lub inny rodzaj transakcji.
4. Egzekwowanie tylko przez Prokuratora Generalnego
Connecticut SB 6 postępuje zgodnie z wzorcem zezwalającym jedynie prokuratorowi generalnemu na ściganie przestępstw.
Prokurator Generalny stanu Connecticut, podobnie jak stan Kolorado, jest zobowiązany do zaoferowania 60-dniowego powiadomienia i możliwości naprawienia wykroczeń.
Naruszenia SB 6 są uważane za oszukańcze praktyki handlowe zgodnie z ustawą o nieuczciwych i wprowadzających w błąd aktach i praktykach i mogą skutkować grzywną cywilną w wysokości do 5000 USD oprócz odszkodowania rzeczywistego i karnego, a także honorariów i kosztów adwokackich.
5. Zwiększone bezpieczeństwo informacji poufnych
Connecticut SB 6, podobnie jak kilka innych przepisów dotyczących prywatności, zapewnia ulepszone zabezpieczenia dla określonych rodzajów informacji.
Te „dane wrażliwe” obejmują informacje o rasie, pochodzeniu etnicznym, przekonaniach religijnych, stanie zdrowia psychicznego lub fizycznego lub diagnozie, życiu seksualnym, orientacji seksualnej, statusie obywatelskim lub statusie imigracyjnym; dane genetyczne i biometryczne, które można wykorzystać do identyfikacji; informacje zebrane od dzieci; oraz informacje o geolokalizacji.
Przetwarzanie danych wrażliwych wymaga zgody konsumenta i nieuchronnie zwiększa ryzyko szkody dla konsumenta, dlatego wymagana jest ocena wpływu na prywatność danych (DPIA).
6. Ujawnienia Polityki Prywatności
Connecticut SB 6 wymaga, aby organizacje zaktualizowały swoje polityki prywatności, aby zawierały następujące informacje:
- Rodzaje danych osobowych, którymi zajmuje się firma;
- Dlaczego firma przetwarza dane osobowe;
- Jeden lub więcej bezpiecznych i godnych zaufania sposobów korzystania przez konsumentów z ich praw do prywatności, w tym możliwość odwołania się od decyzji dotyczącej wniosku o prawa do prywatności;
- Kategorie danych osobowych wymienianych ze stronami trzecimi, jeśli takie istnieją;
- Rodzaje stron trzecich, z którymi wymieniane są dane osobowe, jeśli takie istnieją;
- Aktywny adres e-mail, pod którym klient może skontaktować się z firmą;
- Jeśli firma sprzedaje lub przetwarza dane osobowe w celu reklamy ukierunkowanej, Polityka prywatności musi to określać, a także sposób, w jaki klienci mogą zrezygnować.
Plan zgodności z prywatnością firmy Convert
Wraz z wprowadzaniem większej liczby przepisów dotyczących prywatności możemy spodziewać się dalszej zmiany krajobrazu, z jeszcze bardziej nowatorskimi przepisami dotyczącymi prywatności danych, a także większą liczbą rund komentarzy i poprawek.
Wszystkie te czynniki mogą mieć wpływ na zgodność oprogramowania i sposób sformułowania Polityki prywatności.
Jak więc Convert śledzi wszystkie te dane i zapewnia, że niczego nie przeoczymy?
1. Tworzenie alertów dotyczących słów kluczowych związanych z prywatnością
Zaczynamy od skonfigurowania Alertów Google dla odpowiednich warunków. Nasz system będzie ostrzegał nas za każdym razem, gdy zostanie uchwalone nowe prawodawstwo, zostanie wprowadzony nowy projekt ustawy lub zostanie podjęta decyzja w sprawie zawierającej dowolne z naszych wyszukiwanych haseł. Poniższy zrzut ekranu ilustruje niektóre z tych alertów.
Wyniki wyszukiwania mogą nie być odpowiednie, dlatego musimy przeszukiwać alerty, aby upewnić się, że oceniamy tylko istotne dane.
Każdy dobry badacz wie, że nie powinieneś polegać na jednym źródle wszystkich swoich informacji. Dlatego Convert jest członkiem kilku forów dotyczących prywatności. Co tydzień sprawdzamy również materiały dostarczane przez Międzynarodowe Stowarzyszenie Profesjonalistów ds. Ochrony Prywatności.
Na przykład IAPP publikuje tabelę porównawczą przepisów dotyczących prywatności (patrz poniżej), która zawiera przydatne informacje o wszystkich wprowadzonych ustawach dotyczących prywatności.
2. Sprawdzanie stron internetowych organów ochrony danych (DPA)
Chociaż śledzenie nowych ustaw, ustaw i statutów jest kluczowe, równie ważne jest przestrzeganie organów ochrony danych i ich interpretacji. Podmioty takie jak te mogą dostarczyć kluczowych informacji o tym, co będzie egzekwowane i jak.
W niedawnym artykule opisaliśmy, w jaki sposób austriacki urząd ochrony danych sprawił, że korzystanie z Google Analytics stało się nielegalne.
3. Czytanie artykułów dotyczących prywatności
Czytamy artykuły i artykuły z opiniami na temat prywatności i technologii, a także branżowe perspektywy prywatności i informacje o tym, co opinia publiczna myśli o obecnych środkach ochrony prywatności.
Wiedza o tym, jak branża i szersza opinia publiczna postrzegają prywatność i technologię, pomaga nam ocenić wzorce w zakresie egzekwowania prawa i działań legislacyjnych, a także dokąd zmierza nasz sektor w przyszłości.
4. Aktualizacja zasad i istotnych informacji
Należy pamiętać, że Convert zajmuje się wszystkimi powyższymi kwestiami nie tylko w zakresie Polityki prywatności, ale także Warunków korzystania z usługi, Umów licencyjnych użytkownika końcowego, Zastrzeżeń, Kontraktów i rzeczywistych skryptów śledzenia A/B.
Po zebraniu wszystkich informacji ustalamy, czy wprowadzić zmiany w zasadach, a następnie je aktualizujemy.
5. Informowanie odwiedzających witrynę
Ponieważ coraz więcej konsumentów sprawdza, czy strona internetowa ma Politykę prywatności i jakie praktyki dotyczące prywatności są określone w takich politykach, następnym krokiem jest powiadomienie odwiedzających naszą stronę internetową i użytkowników Konwertu o wprowadzanych przez nas zmianach. Wszystkie nowe przepisy wymagają w Polityce prywatności podania daty wejścia w życie lub ostatniej zmienionej daty. Jeśli Twoja Polityka prywatności zawiera to ujawnienie, użytkownicy witryny mogą łatwo określić, czy polityka została zmieniona, po prostu patrząc na jej datę.
Plan Convert dla Connecticut SB 6
Jeśli masz już konto Convert, nie musisz się o nic martwić! Będziemy śledzić dla Ciebie to nowe prawo, a także wszelkie zmiany i regulacje. Jeśli prawo ma zastosowanie do Ciebie, Twoje zasady zostaną zmienione w celu uwzględnienia powyższych informacji, zanim prawo wejdzie w życie.
W Convert ściśle monitorujemy ustawodawstwo dotyczące prywatności i bezpieczeństwa cybernetycznego państwa. Aby uzyskać więcej informacji na temat „jak przygotować się na SB 6” i innych nowych amerykańskich przepisów dotyczących prywatności, zapoznaj się z naszą mapą dotyczącą RODO .
