Закон Коннектикута о конфиденциальности данных: как мы следим за тем, чтобы Convert оставался совместимым
Опубликовано: 2022-07-13
С введением Коннектикута SB 6, обычно называемого Законом Коннектикута о конфиденциальности данных или «CTDPA» , Коннектикут присоединился к рядам штатов США, таких как Калифорния, Вирджиния, Колорадо, Невада и Юта, которые приняли всеобъемлющие законы о конфиденциальности для защиты личных данных. Персональные данные.
Несмотря на то, что правила конфиденциальности и безопасности данных, существующие в Соединенных Штатах на протяжении десятилетий, ранее применялись только к определенным предприятиям, областям и типам данных.
Эти новые государственные постановления вместо того, чтобы строго ограничивать определенные формы обработки данных, усиливают растущую тенденцию к более широкой защите прав на неприкосновенность частной жизни отдельных лиц.
Все больше и больше штатов США принимают законы, регулирующие обращение с онлайн-информацией. Ознакомьтесь с нашими оценками законов о конфиденциальности в
- Юта,
- Калифорния,
- Вирджиния,
- Невада,
- Колорадо
Разница между Коннектикутом SB 6 и другими законами о конфиденциальности
Ниже приводится разбивка положений Коннектикута SB 6 по сравнению с положениями
- Закон штата Юта о конфиденциальности потребителей (UCPA)
- Закон штата Колорадо о конфиденциальности (CPA)
- Закон штата Невада о конфиденциальности (SB200)
- Вирджиния VCDPA
- CCPA (с поправками, внесенными Законом штата Калифорния о правах на неприкосновенность частной жизни (CPRA))
- Европейский общий регламент по защите данных (GDPR)
| Ключевые положения | Коннектикут SB6 | Юта UCPA | Цена за конверсию в Колорадо | Невада SB220 | Вирджиния CDPA | Калифорния CCPA + CPRA | GDPR для Европы | ||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Возможность обработки | |||||||||||||||||||||||||||||||||||||||||||||||
| Минимизация данных | Да | Да | Да | – | Да | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Допустимая цель | Да | Да | Да | – | Да | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Индивидуальные права | |||||||||||||||||||||||||||||||||||||||||||||||
| Право на получение уведомления об обработке | Да | Да | Да | Да | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Право на доступ к персональным данным | Да | Да | Да | – | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Право на переносимость данных. Данные должны быть доступны в удобном для использования формате для передачи с одной организации/платформы на другую. | Да | Да | Да | . | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Право на исправление ошибок в личных данных | Да | Нет | Да | – | Да | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Право на удаление персональных данных | Да | Да | Да | – | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Право на отказ от поведенческой рекламы | Да | Да | Нет | – | Да | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Право возражать против автоматизированного профилирования и принятия решений | Да | Да | Нет | – | Да | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Право на недискриминацию для осуществления этих прав | Да | Да | Да | – | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Право отказаться от продажи личной информации | Да | Да | Да | Да | Да | Да | Нет | ||||||||||||||||||||||||||||||||||||||||
| Согласие или отказ от обработки конфиденциальной информации | Уклоняться | Уклоняться | Выбрать в | – | Выбрать в | Уклоняться | Выбрать в | ||||||||||||||||||||||||||||||||||||||||
| Право на обжалование отказа в удовлетворении запросов | Да | Нет | Нет | – | Да | Нет | Нет | ||||||||||||||||||||||||||||||||||||||||
| Подотчетность/управление | |||||||||||||||||||||||||||||||||||||||||||||||
| Оценка защиты данных | Да | Нет | Да | – | Да | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Безопасность | |||||||||||||||||||||||||||||||||||||||||||||||
| Надлежащая защита данных для защиты информации | Да | Нет | Да | – | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Уведомление о нарушении | Да | Да | Да | – | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Передача данных за пределы Европейской экономической зоны (ЕЭЗ) | |||||||||||||||||||||||||||||||||||||||||||||||
| Дополнительные меры для международных переводов | Да | Да | Да | – | Нет | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Переводы третьим лицам | |||||||||||||||||||||||||||||||||||||||||||||||
| Договорные требования в соглашениях с поставщиками услуг | Да | Нет | Да | – | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Маркетинг | |||||||||||||||||||||||||||||||||||||||||||||||
| Согласие на использование файлов cookie Adtech | Да | Нет | Нет | – | Да | Да | Да | ||||||||||||||||||||||||||||||||||||||||
| Согласие, полученное до прямого маркетинга | Да | Нет | Да | – | Нет | Нет | Да | ||||||||||||||||||||||||||||||||||||||||
| Правоохранительные органы | |||||||||||||||||||||||||||||||||||||||||||||||
| Генеральный прокурор | Министерство торговли штата Юта | Генеральный прокурор | – | Генеральный прокурор | Генеральный прокурор, CPPA | ДПД | |||||||||||||||||||||||||||||||||||||||||
| Дата операции | |||||||||||||||||||||||||||||||||||||||||||||||
| 1 июля 2023 г. | 31 декабря 2023 г. | 1 июля 2023 г. | 1 октября 2019 г. | 1 января 2023 г. | 1 января 2020 г./ 1 января 2023 г. | 25 мая 2018 г. | |||||||||||||||||||||||||||||||||||||||||
Как видно из таблицы выше, в подходе законодательных собраний штатов к широким законам о защите конфиденциальности вырисовывается закономерность.
Коннектикут SB 6 практически дословно принимает существенные разделы законов Колорадо и Вирджинии, в том числе о том, как определять персональные данные, как обращаться с конфиденциальной личной информацией и когда проводить оценку воздействия на защиту данных.
Каковы ключевые положения SB 6 штата Коннектикут?
Ниже приведены некоторые из наиболее важных положений Коннектикута SB 6:
1. Те же права на неприкосновенность частной жизни, что и в других законах штата.
Закон Коннектикута о конфиденциальности данных устанавливает ряд индивидуальных прав на неприкосновенность частной жизни, которые аналогичны тем, которые содержатся в UCPA штата Юта, CPA Колорадо, VCDPA Вирджинии и CCPA/CPRA Калифорнии.
Эти права включают просмотр, исправление, копирование и удаление личной информации.
Потребители также могут отказаться от обработки своих личных данных для рекламы, продажи данных и создания профиля.
SB 6, как и другие законы штата о конфиденциальности, включает в себя систему согласия для типа обработки данных с участием детей в возрасте от 13 до 16 лет.
2. Запросы конфиденциальности без технического утверждения
Когда дело доходит до того, как подаются и обрабатываются запросы о правах на неприкосновенность частной жизни, новый закон Коннектикута больше напоминает CPA Колорадо, чем закон Вирджинии.
Коннектикут присоединяется к Калифорнии и Колорадо, требуя от предприятий предлагать клиентам возможность отказаться от целевой рекламы или продаж с помощью какого-либо технического механизма. Однако, в отличие от Калифорнии и Колорадо, Коннектикут SB 6 не требует утверждения требований к техническому механизму со стороны регулирующего органа штата.
3. Широкое определение продажи персональных данных
В соответствии с Коннектикутом SB 6 «продажа персональных данных» означает обмен персональных данных на деньги или другое ценное вознаграждение с третьей стороной.
Охватывая «ценное вознаграждение» наряду с денежным возмещением, SB 6 дает более полное определение продажи, аналогичное определениям CCPA штата Калифорния и штата Колорадо CPA.
Существует несколько исключений из определения продажи личных данных, включая раскрытие личных данных по запросу потребителя, раскрытие информации внутри компании, а также раскрытие или передачу личных данных третьей стороне в контексте приобретения, банкротства, или какой-либо другой тип транзакции.
4. Правоприменение только Генеральным прокурором
Коннектикут SB 6 следует схеме, разрешающей только Генеральному прокурору преследовать правонарушения.
Генеральный прокурор Коннектикута, как и в Колорадо, обязан предоставить уведомление за 60 дней и возможность исправить нарушения.
Нарушения SB 6 считаются вводящей в заблуждение торговой практикой в соответствии с законом штата о недобросовестных и вводящих в заблуждение действиях и действиях и могут привести к гражданским штрафам в размере до 5000 долларов США в дополнение к фактическим и штрафным убыткам, а также к гонорарам и расходам адвокатов.
5. Повышенная безопасность конфиденциальной информации
Закон штата Коннектикут SB 6, как и некоторые другие законы о конфиденциальности, обеспечивает усиленную защиту определенных типов информации.
Эти «конфиденциальные данные» включают в себя информацию о расе, этнической принадлежности, религиозных убеждениях, психическом или физическом состоянии или диагнозе, сексуальной жизни, сексуальной ориентации, статусе гражданства или иммиграционном статусе; генетические и биометрические данные, которые можно использовать для идентификации; информация, полученная от детей; и информацию о геолокации.
Обработка конфиденциальных данных требует согласия потребителя и неизбежно увеличивает потенциальный вред для потребителя, поэтому требуется Оценка воздействия на конфиденциальность данных (DPIA).
6. Раскрытие информации о политике конфиденциальности
Коннектикут SB 6 требует, чтобы организации обновили свои Политики конфиденциальности, включив в них следующую информацию:
- Типы персональных данных, которые обрабатывает компания;
- Почему компания обрабатывает персональные данные;
- Один или несколько безопасных и надежных способов для потребителей реализовать свои права на неприкосновенность частной жизни, включая возможность обжалования решения, касающегося запроса о правах на неприкосновенность частной жизни;
- Категории персональных данных, которыми обмениваются с третьими лицами, если таковые имеются;
- Типы третьих лиц, с которыми осуществляется обмен персональными данными, если таковые имеются;
- Активный адрес электронной почты, по которому клиент может связаться с компанией;
- Если компания продает или обрабатывает персональные данные для целевой рекламы, это должно быть указано в Политике конфиденциальности, а также то, как клиенты могут отказаться.
План соблюдения конфиденциальности Convert
По мере введения новых законов о конфиденциальности мы можем ожидать дальнейшего изменения ландшафта с появлением еще более нового законодательства в отношении конфиденциальности данных, а также большего количества комментариев и исправлений.
Все эти факторы могут повлиять на соответствие вашего программного обеспечения требованиям и формулировку вашей Политики конфиденциальности.
Итак, как Convert отслеживает все эти данные и следит за тем, чтобы мы ничего не упустили?
1. Создание оповещений о ключевых словах, связанных с конфиденциальностью
Начнем с настройки Google Alerts для соответствующих условий. Наша система будет предупреждать нас каждый раз, когда принимается новый закон, вносится новый законопроект или принимается решение по делу, которое содержит любой из наших поисковых запросов. На приведенном ниже снимке экрана показаны некоторые из этих предупреждений.
Не все результаты поиска могут быть релевантными, поэтому нам нужно просмотреть предупреждения, чтобы убедиться, что мы оцениваем только релевантные данные.
Каждый хороший исследователь знает, что не следует полагаться на один источник всей информации. Вот почему Convert является участником нескольких форумов по конфиденциальности. Мы также еженедельно проверяем материалы, предоставляемые Международной ассоциацией профессионалов в области конфиденциальности.
IAPP, например, публикует сравнительную таблицу законов о конфиденциальности (см. ниже), содержащую полезную информацию обо всех принятых законопроектах о конфиденциальности.
2. Проверка веб-сайтов органов по защите данных (DPA)
Хотя отслеживание новых законопроектов, законов и статутов имеет решающее значение, не менее важно следить за органами по защите данных и их интерпретациями. Подобные организации могут предоставить вам важную информацию о том, что и как будет применяться.
В недавней статье мы рассказали, как австрийский орган по защите данных сделал использование Google Analytics незаконным.
3. Чтение статей о конфиденциальности
Мы читаем авторские статьи и истории о конфиденциальности и технологиях, а также отраслевые взгляды на конфиденциальность и информацию о том, что широкая общественность думает о текущих средствах защиты конфиденциальности.
Знание того, как отрасль и широкая общественность относятся к конфиденциальности и технологиям, помогает нам оценивать модели правоприменительных и законодательных действий, а также то, куда движется наш сектор в будущем.
4. Обновление политик и соответствующей информации
Важно отметить, что Convert заботится обо всем вышеперечисленном не только в отношении Политики конфиденциальности, но также в отношении Положений и условий, Лицензионных соглашений с конечным пользователем, Заявлений об отказе от ответственности, Контрактов и фактических сценариев отслеживания A/B.
Собрав всю информацию, мы определяем, нужно ли вносить изменения в политики, а затем обновляем их.
5. Информирование посетителей веб-сайта
По мере того, как все больше потребителей проверяют, есть ли на веб-сайте Политика конфиденциальности и какие методы обеспечения конфиденциальности указаны в таких политиках, следующим шагом будет уведомление посетителей нашего веб-сайта и пользователей Convert о вносимых нами изменениях. Все новые законы требуют, чтобы в политиках конфиденциальности указывалась дата их вступления в силу или дата последней редакции. Если ваша Политика конфиденциальности включает это раскрытие, пользователи веб-сайта могут легко определить, была ли изменена политика, просто взглянув на ее дату.
План Convert для Коннектикута SB 6
Если у вас уже есть учетная запись Convert, вам не о чем беспокоиться! Мы будем следить за этим новым законом, а также за любыми изменениями или правилами для вас. Если закон применяется к вам, ваша политика будет пересмотрена, чтобы включить вышеуказанное раскрытие информации до того, как закон вступит в силу.
В Convert мы внимательно следим за соблюдением законов о конфиденциальности и кибербезопасности. Для получения дополнительной информации о том, «как подготовиться к SB 6» и другим новым законам США о конфиденциальности, посетите нашу дорожную карту GDPR .
