Юта: еще один штат, принявший закон о конфиденциальности данных, UCPA
Опубликовано: 2022-05-31
В марте 2022 года губернатор штата Юта Спенсер Дж. Кокс подписал законопроект Сената (SB) 227, также известный как Закон штата Юта о конфиденциальности потребителей (UCPA) .
UCPA — это межотраслевой закон о конфиденциальности, который дает потребителям штата Юта значительные права на конфиденциальность их личной информации. Любые данные, связанные с идентифицированным или идентифицируемым лицом, называются личными данными . Дополнительные требования соответствия применяются к более точно определенным категориям «конфиденциальных данных». Закон вступит в силу 31 декабря 2023 года.
UCPA похож, но не идентичен законам Калифорнии, Вирджинии, Невады и Колорадо о конфиденциальности потребителей. Он в значительной степени вдохновлен Законом о защите данных потребителей Вирджинии (VCDPA), и некоторые элементы, подобные VCDPA, также можно найти в Законе о конфиденциальности штата Колорадо.
На первый взгляд, некоторые черты UCPA кажутся схожими с Калифорнийским законом о конфиденциальности потребителей (CCPA). На практике, однако, это более мягкий и удобный для бизнеса подход к конфиденциальности потребителей, чем его предшественники .
Чем UCPA отличается от законов других штатов о конфиденциальности
Вот общее сравнение положений UCPA с положениями
- Закон штата Колорадо о конфиденциальности (CPA)
- Закон штата Невада о конфиденциальности (SB200)
- ВЦДПА
- CCPA (с поправками, внесенными Законом штата Калифорния о правах на неприкосновенность частной жизни (CPRA))
- Общее положение о защите данных (GDPR)
| Ключевые положения | Юта UCPA | Цена за конверсию в Колорадо | Невада SB220 | Вирджиния CDPA | Калифорния CCPA + CPRA | GDPR для Европы | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Возможность обработки | |||||||||||||||||||||||||||||||||||||||||
| Минимизация данных | Да | Да | – | Да | Нет | Да | |||||||||||||||||||||||||||||||||||
| Допустимая цель | Да | Да | – | Да | Нет | Да | |||||||||||||||||||||||||||||||||||
| Индивидуальные права | |||||||||||||||||||||||||||||||||||||||||
| Право на получение уведомления об обработке | Да | Да | Да | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Право на доступ к персональным данным | Да | Да | – | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Право на переносимость данных. Данные должны быть доступны в удобном для использования формате для передачи с одной организации/платформы на другую. | Да | Да | . | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Право на исправление ошибок в личных данных | Нет | Да | – | Да | Нет | Да | |||||||||||||||||||||||||||||||||||
| Право на удаление персональных данных | Да | Да | – | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Право на отказ от поведенческой рекламы | Да | Нет | – | Да | Нет | Да | |||||||||||||||||||||||||||||||||||
| Право возражать против автоматизированного профилирования и принятия решений | Да | Нет | – | Да | Нет | Да | |||||||||||||||||||||||||||||||||||
| Право на недискриминацию для осуществления этих прав | Да | Да | – | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Право отказаться от продажи личной информации | Да | Да | Да | Да | Да | Нет | |||||||||||||||||||||||||||||||||||
| Согласие или отказ от обработки конфиденциальной информации | Уклоняться | Выбрать в | – | Выбрать в | Уклоняться | Выбрать в | |||||||||||||||||||||||||||||||||||
| Право на обжалование отказа в удовлетворении запросов | Нет | Нет | – | Да | Нет | Нет | |||||||||||||||||||||||||||||||||||
| Подотчетность/управление | |||||||||||||||||||||||||||||||||||||||||
| Оценка защиты данных | Нет | Да | – | Да | Нет | Да | |||||||||||||||||||||||||||||||||||
| Безопасность | |||||||||||||||||||||||||||||||||||||||||
| Надлежащая защита данных для защиты информации | Нет | Да | – | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Уведомление о нарушении | Да | Да | – | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Передача данных за пределы Европейской экономической зоны (ЕЭЗ) | |||||||||||||||||||||||||||||||||||||||||
| Дополнительные меры для международных переводов | Да | Да | – | Нет | Нет | Да | |||||||||||||||||||||||||||||||||||
| Переводы третьим лицам | |||||||||||||||||||||||||||||||||||||||||
| Договорные требования в соглашениях с поставщиками услуг | Нет | Да | – | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Маркетинг | |||||||||||||||||||||||||||||||||||||||||
| Согласие на использование файлов cookie Adtech | Нет | Нет | – | Да | Да | Да | |||||||||||||||||||||||||||||||||||
| Согласие, полученное до прямого маркетинга | Нет | Да | – | Нет | Нет | Да | |||||||||||||||||||||||||||||||||||
| Правоохранительные органы | |||||||||||||||||||||||||||||||||||||||||
| Министерство торговли штата Юта | Генеральный прокурор | – | Генеральный прокурор | Генеральный прокурор, CPPA | ДПД | ||||||||||||||||||||||||||||||||||||
| Дата операции | |||||||||||||||||||||||||||||||||||||||||
| 31 декабря 2023 г. | 1 июля 2023 г. | 1 октября 2019 г. | 1 января 2023 г. | 1 января 2020 г./ 1 января 2023 г. | 25 мая 2018 г. | ||||||||||||||||||||||||||||||||||||
Как видно из приведенной выше таблицы, компании, которые соответствуют требованиям CCPA, CPRA, VCDPA и CPA, скорее всего, без проблем справятся с критериями UCPA.
UCPA использует номенклатуру «контроллер» и «обработчик» GDPR и не предлагает потребителям частного права на иск в случае предполагаемых нарушений. Как и все другие правительственные постановления, он позволяет потребителям контролировать свою личную информацию .
Тем не менее, он также делает некоторые важные различия.
Например, UCPA не дает потребителям права на исправление ошибок в их личных данных и не требует от контролеров проведения оценок воздействия на защиту данных (DPIA) конкретных операций обработки.
UCPA обязывает предприятия, на которые распространяется действие, предоставлять потребителям уведомления и возможность отказаться от обработки их конфиденциальных данных.
Это контрастирует с VCDPA и CPA, требующими разрешения на сбор и обработку конфиденциальных данных. Кроме того, жалобы потребителей направляются не напрямую в Генеральную прокуратуру (AG), а через Министерство торговли штата Юта, которое может передавать жалобы в AG.
Ключевые положения UCPA
Вот некоторые ключевые положения UCPA.
Широкое определение персональных данных и конфиденциальных данных
Согласно UCPA, персональные данные — это любая информация, которая относится или может быть обоснованно связана с идентифицированным или идентифицируемым лицом. Он классифицирует определенные типы данных как «конфиденциальные данные», на которые распространяются дополнительные стандарты и ограничения, не применимые к другим типам персональных данных.
Меньше прав субъекта данных
Потребители имеют четыре основных права в соответствии с UCPA:
- Право на доступ: право знать, обрабатывает ли контролер персональные данные потребителя, и иметь доступ к этим данным.
- Право на удаление: право потребителя на удаление личных данных, переданных контролеру.
- Право на переносимость: право на получение копии персональных данных потребителя, ранее предоставленных контролеру, в переносимом и легкодоступном формате, что позволяет потребителям передавать данные другому контролеру без ограничений.
- Право на отказ: право отказаться от обработки персональных данных для «целевой рекламы» и «продажи».
Несмотря на все эти важные права, UCPA, в отличие от законов других штатов, не дает потребителям возможности исправить неточные личные данные.
Доступные и понятные уведомления о конфиденциальности
UCPA также требует, чтобы контролеры предоставляли потребителям уведомление, которое должно содержать как минимум следующую информацию:
- Типы персональных данных , которые обрабатывает контроллер
- Цели , для которых обрабатываются различные категории данных
- Как клиенты могут реализовать свои права
- Типы персональных данных, которые контролер, если таковые имеются, передает третьим лицам .
- Третьи стороны, с которыми контролер обменивается персональными данными , если применимо
Более легкие соглашения об обработке данных (DPA)
UCPA включает более легкие соглашения об обработке данных и требует, чтобы контроллер был связан с обработчиком. Этот процессор управляет и обрабатывает персональные данные контроллера.
Условия, в которые вступают контролер и обработчик, должны указывать:
- Сущность и цель соглашения
- Продолжительность обработки
- Тип субъекта данных
- Права и обязанности каждой стороны
Переработчики также должны обязать любых субподрядчиков сохранять конфиденциальность и назначать их только на основании документально оформленного контракта . В этом контракте субподрядчик считается обработчиком, если он заботится о данных от имени обработчика.
В отличие от других законов о конфиденциальности, UCPA не требует условий обработки данных для аудита обработчиков или позволяет контролерам отказаться от заключения субподряда с обработчиком.
Знакомые требования безопасности
В UCPA есть раздел по безопасности. В нем указывается, что контролеры используют соответствующие административные, технические и физические методы обеспечения безопасности данных для защиты персональных данных и устранения предсказуемых рисков причинения вреда потребителям в зависимости от размера, объема, объема и характера обработки.
Контрольный список Convert для соответствия требованиям UCPA
Организации, работающие в штате Юта, должны рассматривать UCPA так же, как и законы других штатов. Тем не менее, когда дело доходит до соответствия, может быть сложно поставить галочку в каждом поле.
Чтобы помочь организациям разобраться в тонкостях UCPA, мы составили этот удобный контрольный список соответствия.
Вот что вам нужно иметь в виду:
- Убедитесь, что ваш бизнес подпадает под действие UCPA . Организации должны оценить, соответствуют ли они пороговым значениям юрисдикции UCPA, в том числе пороговым значениям в отношении финансов и объема данных.
- Пересмотрите свою политику конфиденциальности. Пересмотрите свою политику конфиденциальности, чтобы отразить обработку персональных данных, сообщить о дополнительных правах потребителей и определить способы реализации этих прав потребителями.
- Используйте разумные методы обеспечения безопасности данных для защиты ваших данных. Изучите свои политики, методы и средства контроля кибербезопасности, чтобы убедиться, что они соответствуют отраслевым стандартам.
- Разрешить посетителям отказаться от обработки их личных данных (если применимо). Предоставьте жителям Юты возможность воспользоваться своим правом отказаться, если компания продает или использует их личную информацию для целевой рекламы.
- Внедрите механизм сбора конфиденциальных данных. Компании не должны собирать конфиденциальные данные, не предупредив потребителей и не предоставив им возможности отказаться. Чтобы выполнить это обязательство, компании должны внедрить подходящие системы отказа.
- Оперативно получать и отвечать на запросы потребителей. Разработайте процедуры для принятия, отслеживания, подтверждения и выполнения запросов потребителей на осуществление их прав доступа и удаления данных согласно UCPA.
Convert соблюдает все законы о конфиденциальности (ЕС + США)
Соблюдение законов Юты должно осуществляться так же, как и других законов штата, с небольшими языковыми изменениями для ясности, что они применяются только к жителям Юты. UCPA может требовать различного географического таргетинга сообщений об отказе, что должно быть указано явно.
Convert внимательно следит за соблюдением государственного законодательства о конфиденциальности и кибербезопасности. Для получения дополнительной информации о том, «как подготовиться к UCPA» и другим новым законам США о конфиденциальности, см. нашу дорожную карту GDPR .
