Utah: inny stan, który uchwali ustawę o ochronie danych, UCPA
Opublikowany: 2022-05-31
W marcu 2022 r. gubernator stanu Utah Spencer J. Cox podpisał ustawę senacką (SB) 227, znaną również jako ustawa o ochronie prywatności konsumentów stanu Utah (UCPA) .
UCPA to międzybranżowa ustawa o ochronie prywatności, która daje konsumentom ze stanu Utah znaczące prawa do prywatności w odniesieniu do ich danych osobowych. Wszelkie dane związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą są nazywane danymi osobowymi . Dodatkowe wymagania dotyczące zgodności mają zastosowanie do precyzyjniej zdefiniowanych kategorii „danych wrażliwych”. Ustawa wejdzie w życie 31 grudnia 2023 r.
Ustawa UCPA jest podobna, ale nie identyczna z ustawami o ochronie prywatności konsumentów w Kalifornii, Wirginii, Nevadzie i Kolorado. Jest mocno zainspirowany ustawą o ochronie danych konsumentów stanu Virginia (VCDPA), a niektóre elementy podobne do VCDPA można również znaleźć w ustawie o prywatności w Kolorado.
Na pierwszy rzut oka niektóre cechy UCPA wydają się podobne do kalifornijskiej ustawy o prywatności konsumentów (CCPA). W praktyce jest to jednak łagodniejsze, bardziej przyjazne dla biznesu podejście do prywatności konsumenta niż jego poprzednicy .
Czym UCPA różni się od innych państwowych przepisów dotyczących prywatności
Oto ogólne porównanie przepisów UCPA z przepisami
- Ustawa o prywatności w stanie Kolorado (CPA)
- Ustawa o prywatności w stanie Nevada (SB200)
- VCDPA
- CCPA (zmieniona ustawą California Privacy Rights Act (CPRA))
- Ogólne rozporządzenie o ochronie danych (RODO)
| Kluczowe postanowienia | Utah UCPA | Kolorado CPA | Nevada SB220 | Wirginia CDPA | Kalifornia CCPA + CPRA | Europa RODO | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Zdolność do przetwarzania | |||||||||||||||||||||||||||||||||||||||||
| Minimalizacja danych | TAk | TAk | – | TAk | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Dopuszczalny cel | TAk | TAk | – | TAk | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Indywidualne prawa | |||||||||||||||||||||||||||||||||||||||||
| Prawo do otrzymania powiadomienia o czynnościach przetwarzania | TAk | TAk | TAk | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Prawo dostępu do danych osobowych | TAk | TAk | – | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Prawo do przenoszenia danych. Dane powinny być dostępne w łatwym do użytku formacie do przenoszenia z jednego podmiotu/platformy do drugiego. | TAk | TAk | . | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Prawo do poprawiania błędów w danych osobowych | Nie | TAk | – | TAk | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Prawo do usunięcia danych osobowych | TAk | TAk | – | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Prawo do rezygnacji z reklamy behawioralnej | TAk | Nie | – | TAk | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Prawo do sprzeciwu wobec automatycznego profilowania i podejmowania decyzji | TAk | Nie | – | TAk | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Prawo do niedyskryminacji w korzystaniu z tych praw | TAk | TAk | – | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Prawo do rezygnacji ze sprzedaży danych osobowych | TAk | TAk | TAk | TAk | TAk | Nie | |||||||||||||||||||||||||||||||||||
| Zgoda lub rezygnacja z przetwarzania poufnych informacji | Rezygnacja | Zaakceptuj | – | Zaakceptuj | Rezygnacja | Zaakceptuj | |||||||||||||||||||||||||||||||||||
| Prawo do odwołania od odmowy wniosków | Nie | Nie | – | TAk | Nie | Nie | |||||||||||||||||||||||||||||||||||
| Odpowiedzialność/Zarządzanie | |||||||||||||||||||||||||||||||||||||||||
| Oceny ochrony danych | Nie | TAk | – | TAk | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Bezpieczeństwo | |||||||||||||||||||||||||||||||||||||||||
| Odpowiednie bezpieczeństwo danych w celu ochrony informacji | Nie | TAk | – | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Powiadomienie o naruszeniu | TAk | TAk | – | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Przekazywanie danych poza Europejski Obszar Gospodarczy (EOG) | |||||||||||||||||||||||||||||||||||||||||
| Dodatkowe środki dla przelewów międzynarodowych | TAk | TAk | – | Nie | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Przelewy na rzecz osób trzecich | |||||||||||||||||||||||||||||||||||||||||
| Wymagania umowne w umowach z dostawcami usług | Nie | TAk | – | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Marketing | |||||||||||||||||||||||||||||||||||||||||
| Zgoda na pliki cookie Adtech | Nie | Nie | – | TAk | TAk | TAk | |||||||||||||||||||||||||||||||||||
| Zgoda uzyskana przed marketingiem bezpośrednim | Nie | TAk | – | Nie | Nie | TAk | |||||||||||||||||||||||||||||||||||
| Agencje egzekucyjne | |||||||||||||||||||||||||||||||||||||||||
| Departament Handlu Utah | Prokurator Generalny | – | Prokurator Generalny | Prokurator Generalny, CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| Data operacyjna | |||||||||||||||||||||||||||||||||||||||||
| 31 grudnia 2023 | 1 lipca 2023 | 1 października 2019 | 1 stycznia 2023 | 1 stycznia 2020/ 1 stycznia 2023 | 25 maja 2018 | ||||||||||||||||||||||||||||||||||||
Jak widać z powyższej tabeli, firmy, które przestrzegają CCPA, CPRA, VCDPA i CPA, prawdopodobnie nie będą miały problemów ze spełnieniem kryteriów UCPA.
UCPA używa nomenklatury „kontrolera” i „przetwarzającego” RODO i nie oferuje konsumentom prywatnego prawa do podejmowania działań w przypadku domniemanych naruszeń. Podobnie jak wszystkie inne przepisy rządowe, zapewnia konsumentom kontrolę nad ich danymi osobowymi .
Jednak wprowadza również pewne istotne rozróżnienia.
Na przykład UCPA nie daje konsumentom prawa do poprawiania błędów w ich danych osobowych ani nie wymaga od administratorów przeprowadzania ocen skutków dla ochrony danych (DPIA) określonych operacji przetwarzania.
UCPA nakazuje przedsiębiorstwom objętym ubezpieczeniem dostarczanie konsumentom powiadomień i możliwości rezygnacji przed przetwarzaniem ich danych wrażliwych.
Kontrastuje to z VCDPA i CPA, które wymagają zgody na zbieranie i przetwarzanie danych wrażliwych. Ponadto, zamiast kierować się bezpośrednio do prokuratora generalnego (AG), skargi konsumenckie są kierowane przez Departament Handlu Utah, który może zgłaszać wątpliwości do AG.
Kluczowe postanowienia UCPA
Oto kilka kluczowych postanowień UCPA.
Szeroka definicja danych osobowych i danych wrażliwych
Zgodnie z UCPA dane osobowe to wszelkie informacje, które odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby lub mogą być z nią powiązane. Klasyfikuje określone rodzaje danych jako „dane wrażliwe”, co podlega dodatkowym standardom i ograniczeniom nie mającym zastosowania do innych rodzajów danych osobowych.
Mniej praw podmiotów danych
Konsumenci mają cztery podstawowe prawa wynikające z UCPA:
- Prawo dostępu: prawo do informacji, czy administrator przetwarza dane osobowe konsumenta i dostępu do tych danych.
- Prawo do usunięcia: Prawo konsumenta do usunięcia danych osobowych przekazanych administratorowi.
- Prawo do przenoszenia: prawo do uzyskania kopii danych osobowych konsumenta przekazanych wcześniej administratorowi w przenośnym i łatwo dostępnym formacie, umożliwiającym konsumentom przesyłanie danych do innego administratora bez ograniczeń.
- Prawo do rezygnacji: Prawo do odmowy przetwarzania danych osobowych w celu „reklamy ukierunkowanej” i „sprzedaży”.
Pomimo wszystkich tych ważnych praw, UCPA, w przeciwieństwie do innych przepisów stanowych, nie daje konsumentom możliwości poprawienia niedokładnych danych osobowych.
Dostępne i jasne informacje dotyczące prywatności
UCPA wymaga również, aby administratorzy przekazali konsumentom zawiadomienie, które powinno zawierać co najmniej następujące informacje:
- Rodzaje danych osobowych przetwarzanych przez administratora
- Cele, dla których obsługiwane są różne kategorie danych
- Jak klienci mogą dochodzić swoich praw
- Rodzaje danych osobowych, które administrator, jeśli w ogóle, udostępnia osobom trzecim ;
- Osoby trzecie, z którymi administrator wymienia dane osobowe , jeśli dotyczy
Lżejsze umowy przetwarzania danych (DPA)
UCPA zawiera lżejsze Umowy przetwarzania danych i wymaga, aby administrator połączył się z podmiotem przetwarzającym. Ten podmiot przetwarzający zarządza i przetwarza dane osobowe dla administratora.
Pojęcia, które zawierają administrator i podmiot przetwarzający, powinny określać:
- Charakter i cel umowy
- Czas przetwarzania
- Rodzaj osoby, której dane dotyczą
- Prawa i obowiązki każdej ze stron
Przetwarzający powinni również zobowiązać wszystkich podwykonawców do zachowania poufności i zlecać im jedynie udokumentowaną umowę . Niniejsza umowa traktuje podwykonawcę jako przetwarzającego, jeśli zajmuje się danymi w imieniu przetwarzającego.
W przeciwieństwie do innych przepisów dotyczących prywatności, UCPA nie wymaga warunków przetwarzania danych w celu audytu podmiotów przetwarzających lub umożliwienia administratorom rezygnacji z podzlecania podmiotowi przetwarzającemu.
Znajome wymagania bezpieczeństwa
UCPA zawiera sekcję dotyczącą bezpieczeństwa. Określa, że administratorzy stosują odpowiednie administracyjne, techniczne i fizyczne praktyki bezpieczeństwa danych w celu zabezpieczenia danych osobowych i wyeliminowania przewidywalnego ryzyka szkody dla konsumentów w oparciu o rozmiar, zakres, objętość i charakter przetwarzania.
Lista kontrolna zgodności z UCPA firmy Convert
Organizacje działające w stanie Utah powinny traktować UCPA w taki sam sposób, jak inne przepisy stanowe. Jednak sprawdzenie każdego pola, jeśli chodzi o zgodność, może być trudne.
Aby pomóc organizacjom w poruszaniu się po zawiłościach UCPA, przygotowaliśmy tę przydatną listę kontrolną zgodności.
Oto, o czym musisz pamiętać:
- Upewnij się, że Twoja firma jest objęta UCPA . Organizacje muszą ocenić, czy spełniają próg jurysdykcyjny UCPA, w tym próg finansowy i wielkość danych.
- Przemyśl ponownie swoją politykę prywatności. Popraw swoją politykę prywatności, aby odzwierciedlić przetwarzanie danych osobowych, informowanie o dodatkowych prawach konsumentów i określanie sposobów, dzięki którym konsumenci mogą korzystać z tych praw.
- Stosuj rozsądne praktyki w zakresie bezpieczeństwa danych, aby chronić swoje dane. Sprawdź swoje zasady, praktyki i mechanizmy kontroli w zakresie cyberbezpieczeństwa, aby upewnić się, że spełniają one standardy branżowe.
- Pozwól odwiedzającym zrezygnować z przetwarzania ich danych osobowych (jeśli dotyczy). Zapewnienie mieszkańcom stanu Utah możliwości skorzystania z prawa do rezygnacji, jeśli firma sprzedaje lub wykorzystuje ich dane osobowe do ukierunkowanej reklamy.
- Wdrożenie mechanizmu zbierania danych wrażliwych. Przedsiębiorstwa nie mogą gromadzić danych wrażliwych bez ostrzeżenia konsumentów i możliwości rezygnacji. Aby spełnić ten obowiązek, firmy powinny wdrożyć odpowiednie systemy rezygnacji.
- Otrzymuj zapytania konsumentów i odpowiadaj na nie niezwłocznie. Opracuj procedury akceptowania, śledzenia, potwierdzania i spełniania żądań konsumentów w celu skorzystania z ich praw dostępu UCPA i usunięcia.
Konwertuj szanuje wszystkie przepisy dotyczące prywatności (UE + USA)
Przestrzeganie praw stanu Utah należy traktować w taki sam sposób, jak innych przepisów stanowych, z niewielkimi zmianami językowymi dla jasności, że mają one zastosowanie tylko do mieszkańców stanu Utah. UCPA może wymagać innego ukierunkowania geograficznego wiadomości o rezygnacji, co należy wyraźnie określić.
Convert uważnie przygląda się przepisom dotyczącym prywatności i bezpieczeństwa cybernetycznego. Aby uzyskać więcej informacji na temat „jak przygotować się do UCPA” i innych nowych amerykańskich przepisów dotyczących prywatności, zapoznaj się z naszą mapą RODO .
