Przygotuj się na CDPA: wschodnie wybrzeże spotyka zachodnie wybrzeże, gdy Virginia podpisuje prawo dotyczące prywatności
Opublikowany: 2021-04-22
Stan Wirginia zagłosował niedawno, by stać się pierwszym stanem na Wschodnim Wybrzeżu, który uchwali prawo regulujące sposób, w jaki firmy chronią dane osobowe konsumentów. Nowe prawo pojawia się, gdy giganci technologiczni spotykają się z odmową ze strony prawodawców i konsumentów w związku z postępowaniem z danymi osobowymi.
Ustawa Virginia Consumer Data Protection Act (CDPA) została podpisana 2 marca 2021 r. i wejdzie w życie w 2023 r.
Podobnie jak kalifornijska ustawa o prywatności konsumentów z 2018 r. (CCPA), kalifornijska ustawa o prawach prywatności z 2020 r. (CPRA), a nawet europejskie RODO, CDPA jest najnowszym osiągnięciem w tym, co było przełomowym rokiem dla przepisów dotyczących prywatności w Stanach Zjednoczonych.
Ale firmy, które pracowały nad przestrzeganiem innych przepisów, nie powinny spoczywać na laurach. Nadal muszą przygotować się do CDPA, która ma inne postanowienia niż CCPA lub CPRA.
W tym artykule przyjrzymy się tym odrębnym przepisom ustawy Virginia i porównamy je z CCPA (zmienionym przez CPRA) i RODO.
| Kluczowe postanowienia | Wirginia CDPA | Kalifornia CCPA + CPRA | Europa RODO | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Zdolność do przetwarzania | |||||||||||||||||||||||
| Minimalizacja danych | TAk | Nie | TAk | ||||||||||||||||||||
| Dopuszczalny cel | TAk | Nie | TAk | ||||||||||||||||||||
| Indywidualne prawa | |||||||||||||||||||||||
| Prawo do otrzymania powiadomienia o czynnościach przetwarzania | TAk | TAk | TAk | ||||||||||||||||||||
| Prawo dostępu do danych osobowych | TAk | TAk | TAk | ||||||||||||||||||||
| Prawo do przenoszenia danych (tj. dane muszą być dostarczone w łatwym do użytku formacie, aby można je było przenieść z jednego podmiotu/platformy na inny) | TAk | TAk | TAk | ||||||||||||||||||||
| Prawo do poprawiania błędów w danych osobowych | TAk | Nie | TAk | ||||||||||||||||||||
| Prawo do usunięcia danych osobowych | TAk | TAk | TAk | ||||||||||||||||||||
| Prawo do rezygnacji z reklamy behawioralnej | TAk | Nie | TAk | ||||||||||||||||||||
| Prawo do sprzeciwu wobec automatycznego profilowania i podejmowania decyzji | TAk | Nie | TAk | ||||||||||||||||||||
| Prawo do niedyskryminacji w korzystaniu z tych praw | TAk | TAk | TAk | ||||||||||||||||||||
| Prawo do rezygnacji ze sprzedaży danych osobowych | TAk | TAk | Nie | ||||||||||||||||||||
| Zgoda lub rezygnacja z przetwarzania poufnych informacji | Zaakceptuj | Rezygnacja | Zaakceptuj | ||||||||||||||||||||
| Prawo do odwołania od odmowy wniosków | TAk | Nie | Nie | ||||||||||||||||||||
| Odpowiedzialność/Zarządzanie | |||||||||||||||||||||||
| Oceny ochrony danych | TAk | Nie | TAk | ||||||||||||||||||||
| Bezpieczeństwo | |||||||||||||||||||||||
| Odpowiednie bezpieczeństwo danych w celu ochrony informacji | TAk | TAk | TAk | ||||||||||||||||||||
| Powiadomienie o naruszeniu | TAk | TAk | TAk | ||||||||||||||||||||
| Transfery danych poza EOG | |||||||||||||||||||||||
| Dodatkowe środki dla przelewów międzynarodowych | Nie | Nie | TAk | ||||||||||||||||||||
| Przelewy na rzecz osób trzecich | |||||||||||||||||||||||
| Wymagania umowne w umowach z dostawcami usług | TAk | TAk | TAk | ||||||||||||||||||||
| Marketing | |||||||||||||||||||||||
| Zgoda na pliki cookie Adtech | TAk | TAk | TAk | ||||||||||||||||||||
| Zgoda uzyskana przed marketingiem bezpośrednim | Nie | Nie | TAk | ||||||||||||||||||||
| Agencje egzekucyjne | |||||||||||||||||||||||
| Prokurator Generalny | Prokurator Generalny, CPPA | DPA | |||||||||||||||||||||
| Data operacyjna | |||||||||||||||||||||||
| 1 stycznia 2023 | 1 stycznia 2020 / 1 stycznia 2023 | 25 maja 2018 | |||||||||||||||||||||
Firmy, które pracowały nad osiągnięciem zgodności z CCPA lub GDPR, odkryją, że te przepisy mają wiele podobnego słownictwa i terminologii; jednak błędem jest założenie, że prawo Wirginii ma identyczne wymagania.
Chociaż istnieją podobieństwa do CCPA i RODO, CDPA zawiera niuanse, które prawdopodobnie będą unikalne dla każdej organizacji.
Jeśli czytanie tego przytłacza Cię, zapoznaj się z instrukcjami krok po kroku, które przedstawiliśmy poniżej, aby pomóc w przestrzeganiu nowych przepisów dotyczących prywatności.
Po pierwsze, poproś prawników, specjalistów IT i specjalistów ds. prywatności w Twojej organizacji o ocenę zastosowania prawa do Twojej firmy. Następnie zidentyfikuj wszelkie luki i opracuj plan zgodności zawierający rozwiązania tych problemów.
Przejdźmy do dalszych szczegółów, dobrze?
Aby osiągnąć zgodność z CDPA, musisz:
- Twórz i utrzymuj kompleksową inwentaryzację danych, zapewniającą wgląd zarówno w rodzaje danych, jak i charakter czynności przetwarzania.
- Upewnij się, że wrażliwe dane są segregowane i zarządzane bez niepotrzebnego ryzyka.
- Wdrożenie ram do przeprowadzania ocen skutków dla ochrony danych (DPIA).
- Oceń obowiązujące zasady, praktyki i kontrole cyberbezpieczeństwa, aby upewnić się, że są one zgodne z uznanymi w branży standardami.
- Umożliwienie konsumentom rezygnacji ze sprzedaży ich danych osobowych (w stosownych przypadkach).
- Zaktualizuj polityki prywatności dostępne publicznie, aby m.in. zobowiązać się, że nie będą ponownie identyfikować danych osobowych pozbawionych elementów pozwalających na identyfikację, a także przekażą szczegółowe informacje na temat działań związanych z przetwarzaniem danych.
- Opracuj mechanizmy akceptowania, śledzenia, weryfikowania i honorowania wniosków konsumentów o dostęp, poprawianie, usuwanie i rezygnację z danych osobowych w ramach CDPA.
- Upewnij się, że pracownicy obsługi klienta mają dokładną wiedzę na temat przepisów, aby skutecznie i przewidywalnie spełniać żądania konsumentów.
Wreszcie, chociaż rok 2023 może wydawać się odległą przyszłością, nie odkładaj tworzenia planu zgodności.
Jeśli inne niedawne przepisy dotyczące prywatności nauczyły nas czegokolwiek, to tego, że te inicjatywy wymagają znacznych wysiłków i czasu, aby starannie zaplanować, wykryć luki w mechanizmach ochrony prywatności oraz wdrożyć nowe zasady, procesy i działania naprawcze.
Nie jest jeszcze za wcześnie, aby rozpocząć starania o zgodność z CDPA, ponieważ coraz więcej stanów, takich jak Nowy Jork i Waszyngton, zaczyna wprowadzać przepisy dotyczące ochrony prywatności konsumentów.
W miarę jak coraz więcej stanowych legislatur staje się aktywnych w uchwalaniu ustaw lub ustaw o ochronie prywatności konsumentów, jedno staje się jasne: zapewnienie prywatności klientów nie może być już dłużej refleksją. Musi być wtopiony w Twój model biznesowy.
