Невада, первый штат для законов об отказе от конфиденциальности: насколько хорошо подготовлено преобразование?

29 мая 2019 года губернатор Невады подписал закон SB 220.

Этот закон вносит поправки в действующий закон штата Невада о безопасности и конфиденциальности, требуя от оператора веб-сайта или онлайн-сервиса в коммерческих целях разрешать потребителям отказаться от продажи любой конфиденциальной информации, позволяющей установить личность, которую оператор собрал или будет собирать о потребителе .

Закон вступает в силу 1 октября 2019 г., за несколько месяцев до даты вступления в силу Калифорнийского закона о конфиденциальности потребителей (CCPA) 1 января 2020 г., и поэтому он должен стать первым в своем роде, который будет реализован в США после GDPR в ЕС.

SB 220 представляет собой существенную поправку к действующему закону о конфиденциальности штата Невада и представляет собой новую задачу для отрасли в целом. На первый взгляд закон имеет более узкую сферу применения, чем CCPA, и включает более узкие определения «потребителя» и «продажи», а также выделение исключений для финансовых учреждений, подпадающих под действие Закона Грэмма-Лича-Блайли («GLBA») и субъекты, на которые распространяется действие Закона о переносимости и подотчетности медицинского страхования («HIPPA»).

Тем не менее, компании, сосредоточенные на соблюдении CCPA, теперь должны перенаправить ресурсы на обеспечение соответствия SB 220.

Ниже приводится высокоуровневое сравнение CCPA с пересмотренным законом штата Невада о конфиденциальности в Интернете:

Требования СБ 220

SB 220 содержит четыре основных требования, но применение закона регулируют несколько ключевых определений и исключений:

1. «Оператор» должен установить «указанный адрес запроса», через который потребитель может отправить «подтвержденный запрос», предписывающий оператору не продавать «закрытую информацию», собранную о потребителе.
2. Потребитель может в любое время отправить проверенный запрос по указанному адресу запроса, указав оператору не продавать покрываемую информацию, которую оператор собрал о потребителе.
3. Оператору, получившему проверенный запрос, запрещается продавать какую-либо покрываемую информацию, которую оператор собрал или будет собирать о потребителе.
4. Оператор должен ответить на проверенный запрос потребителя в течение 60 дней. Оператор может продлить период ответа не более чем на 30 дней, если (а) оператор сочтет, что такое продление разумно необходимо; и (b) оператор, который продлевает период ответа, уведомляет потребителя о таком продлении.

Итак, давайте посмотрим, что делает Convert, чтобы соблюдать Закон о конфиденциальности штата Невада и его требования?

Потребители из Невады будут иметь право отказаться от продажи личной информации

Как и в случае с CCPA, потребители из Невады смогут отказаться от продажи «защищенной информации», которая включает любые из следующих элементов, собранных через веб-сайт или онлайн-сервис:

• Имя и фамилия.
• Домашний или другой физический адрес, который включает название улицы и название города.
• Адрес электронной почты (email).
• Номер телефона.
• Номер социального страхования.
• Идентификатор, который позволяет связаться с конкретным человеком физически или онлайн.
• Любая другая информация, касающаяся лица, полученная от лица через Интернет-сайт или онлайн-сервис оператора и поддерживаемая оператором в сочетании с идентификатором в форме, позволяющей установить личность.

Многие организации плохо понимают, какую информацию они продают и где она существует.

В Convert мы готовы к этому благодаря принципу минимизации данных GDPR. Мы анонимизировали идентификаторы посетителей в нашем отслеживании, сгруппировав сотни посетителей веб-сайта в группы посетителей, которые учитывают только присутствие посетителя.

Отдельные посетители не сохраняются в Convert Experience. Ни в коем случае нельзя повторно привязать групповые подсчеты к отдельным посетителям.

GDPR предоставил нам возможность тщательно изучить, что мы храним в Convert, и каков вариант использования для сохранения этого в среде, все более ориентированной на конфиденциальность.

Организации должны установить назначенный адрес запроса

В новом законе штата Невада говорится, что организации, подпадающие под действие закона, « должны установить специальный адрес запроса, через который потребитель может отправить проверенный запрос».

В Convert мы используем адрес [email protected] для приема и проверки запросов на отказ, и это действует со времен GDPR. Эти запросы направляются в центральную очередь, и наш сотрудник по защите данных своевременно отвечает на них в соответствии с требованиями GDPR и другими действующими законами о конфиденциальности.

На проверенные запросы необходимо ответить в течение 60 дней

GDPR предоставляет организациям 30 дней для ответа на запросы потребителей, а CCPA — 45 дней.

Закон штата Невада продлевает этот срок до 60 дней, а также дает организациям право на 30-дневное продление, если это разумно необходимо. Три закона имеют разные режимы продления и требуют, чтобы операторы информировали потребителей в разные временные промежутки.

Convert подготовлен к 30-дневному ответу GDPR, и до сих пор мы успешно выполняли все наши запросы, что позволяет легко отвечать на запросы Невады в течение обязательного 60-дневного периода времени.

Запрос должен быть проверен перед ответом

Как и в случае с GDPR и CCPA, организации должны проверять личность потребителя, прежде чем отвечать на запрос.

Convert также облегчает эту проверку, когда потребитель отправляет запрос на отказ, отправляя идентификатор через защищенное вложение, которое может знать только потребитель.

Convert серьезно относится ко всем законам о конфиденциальности (ЕС + США)

Хотя в других штатах законодательство о конфиденциальности застопорилось или потерпело неудачу, принятие Невадой SB-220 служит напоминанием о том, что соблюдение правовых и нормативных обязательств в цифровом мире останется проблемой в ближайшем будущем.

Мы наблюдаем за несколькими другими штатами, где некоторые формы законодательства, вдохновленного CCPA, все еще находятся на рассмотрении (Орегон, Техас, Мэн, Юта), и мы будем готовы работать в среде, где все они функционируют.

Convert хорошо справляется со всеми нашими операциями по обработке данных и третьими лицами, которым данные передаются.

Для получения дополнительной информации о том, как подготовиться к CCPA и потенциальным другим новым законам США о конфиденциальности, см. нашу дорожную карту GDPR.