ยูทาห์: อีกรัฐหนึ่งที่ต้องผ่านกฎหมายความเป็นส่วนตัวของข้อมูล UCPA
เผยแพร่แล้ว: 2022-05-31
ในเดือนมีนาคมปี 2022 สเปนเซอร์ เจ. ค็อกซ์ ผู้ว่าการรัฐยูทาห์ได้ลงนามในกฎหมายวุฒิสภาบิล (SB) 227 หรือที่เรียกว่า Utah Consumer Privacy Act (UCPA)
UCPA เป็นกฎหมายความเป็นส่วนตัวข้ามอุตสาหกรรมที่ให้สิทธิ์ความเป็นส่วนตัวแก่ผู้บริโภคในยูทาห์อย่างมีนัยสำคัญเหนือข้อมูลส่วนบุคคลของพวกเขา ข้อมูลใดๆ ที่เชื่อมต่อกับบุคคลที่ระบุตัวตนหรือระบุตัวตนได้นั้นเรียกว่า ข้อมูลส่วนบุคคล ข้อกำหนดการปฏิบัติตามข้อกำหนดเพิ่มเติมนำไปใช้กับหมวดหมู่ "ข้อมูลที่ละเอียดอ่อน" ที่กำหนดไว้อย่างแม่นยำยิ่งขึ้น กฎหมายจะมีผลบังคับใช้ในวันที่ 31 ธันวาคม 2023
UCPA มีความคล้ายคลึงกันแต่ไม่เหมือนกับกฎเกณฑ์ความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย เวอร์จิเนีย เนวาดา และโคโลราโด ได้รับแรงบันดาลใจอย่างมากจาก Virginia Consumer Data Protection Act (VCDPA) และองค์ประกอบที่คล้ายกับ VCDPA บางอย่างสามารถพบได้ใน Colorado Privacy Act
เมื่อมองแวบแรก คุณลักษณะบางอย่างของ UCPA จะคล้ายกับ California Consumer Privacy Act (CCPA) อย่างไรก็ตาม ในทางปฏิบัติ เป็นแนวทาง ที่นุ่มนวลกว่าและเป็นมิตรกับธุรกิจมากกว่าในด้านความเป็นส่วนตัวของผู้บริโภคมากกว่ารุ่นก่อน
UCPA แตกต่างจากกฎหมายความเป็นส่วนตัวของรัฐอื่นอย่างไร
นี่คือการเปรียบเทียบระดับสูงของข้อกำหนด UCPA กับข้อกำหนดของ
- พระราชบัญญัติความเป็นส่วนตัวโคโลราโด (CPA)
- กฎหมายความเป็นส่วนตัวของรัฐเนวาดา (SB200)
- VCDPA
- CCPA (ซึ่งแก้ไขโดย California Privacy Rights Act (CPRA))
- ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR)
| บทบัญญัติที่สำคัญ | ยูทาห์ UCPA | โคโลราโด ซีพีเอ | เนวาดา SB220 | เวอร์จิเนีย CDPA | แคลิฟอร์เนีย CCPA + CPRA | GDPR ของยุโรป | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ความสามารถในการประมวลผล | |||||||||||||||||||||||||||||||||||||||||
| การลดขนาดข้อมูล | ใช่ | ใช่ | – | ใช่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| วัตถุประสงค์ที่อนุญาต | ใช่ | ใช่ | – | ใช่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิส่วนบุคคล | |||||||||||||||||||||||||||||||||||||||||
| สิทธิ์ในการรับแจ้งการดำเนินการกิจกรรม | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล | ใช่ | ใช่ | – | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิ์ในการพกพาข้อมูล ข้อมูลควรมีอยู่ในรูปแบบที่ใช้งานง่ายสำหรับการถ่ายโอนจากเอนทิตี/แพลตฟอร์มหนึ่งไปยังอีกแพลตฟอร์มหนึ่ง | ใช่ | ใช่ | . | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิ์ในการแก้ไขข้อผิดพลาดในข้อมูลส่วนบุคคล | ไม่ | ใช่ | – | ใช่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิ์ในการลบข้อมูลส่วนบุคคล | ใช่ | ใช่ | – | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิ์ในการเลือกไม่รับโฆษณาตามพฤติกรรม | ใช่ | ไม่ | – | ใช่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิ์ในการคัดค้านการทำโปรไฟล์อัตโนมัติและการตัดสินใจ | ใช่ | ไม่ | – | ใช่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิในการไม่เลือกปฏิบัติในการใช้สิทธิเหล่านี้ | ใช่ | ใช่ | – | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| สิทธิ์ในการยกเลิกการขายข้อมูลส่วนบุคคล | ใช่ | ใช่ | ใช่ | ใช่ | ใช่ | ไม่ | |||||||||||||||||||||||||||||||||||
| เลือกใช้หรือเลือกที่จะไม่ประมวลผลข้อมูลที่ละเอียดอ่อน | เลือกออก | เลือกใช้ | – | เลือกใช้ | เลือกออก | เลือกใช้ | |||||||||||||||||||||||||||||||||||
| สิทธิในการอุทธรณ์การปฏิเสธคำขอ | ไม่ | ไม่ | – | ใช่ | ไม่ | ไม่ | |||||||||||||||||||||||||||||||||||
| ความรับผิดชอบ/การกำกับดูแล | |||||||||||||||||||||||||||||||||||||||||
| การประเมินการปกป้องข้อมูล | ไม่ | ใช่ | – | ใช่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| ความปลอดภัย | |||||||||||||||||||||||||||||||||||||||||
| ความปลอดภัยของข้อมูลที่เหมาะสมเพื่อปกป้องข้อมูล | ไม่ | ใช่ | – | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| การแจ้งเตือนการละเมิด | ใช่ | ใช่ | – | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| การถ่ายโอนข้อมูลนอกเขตเศรษฐกิจยุโรป (EEA) | |||||||||||||||||||||||||||||||||||||||||
| มาตรการเพิ่มเติมสำหรับการโอนระหว่างประเทศ | ใช่ | ใช่ | – | ไม่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| การโอนไปยังบุคคลที่สาม | |||||||||||||||||||||||||||||||||||||||||
| ข้อกำหนดตามสัญญาในข้อตกลงของผู้ให้บริการ | ไม่ | ใช่ | – | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| การตลาด | |||||||||||||||||||||||||||||||||||||||||
| ความยินยอมสำหรับคุกกี้ Adtech | ไม่ | ไม่ | – | ใช่ | ใช่ | ใช่ | |||||||||||||||||||||||||||||||||||
| ความยินยอมที่ได้รับก่อนการทำตลาดแบบตรง | ไม่ | ใช่ | – | ไม่ | ไม่ | ใช่ | |||||||||||||||||||||||||||||||||||
| หน่วยงานบังคับใช้กฎหมาย | |||||||||||||||||||||||||||||||||||||||||
| กระทรวงพาณิชย์ยูทาห์ | อัยการสูงสุด | – | อัยการสูงสุด | อัยการสูงสุด กปปส | ป.ป.ช | ||||||||||||||||||||||||||||||||||||
| วันทำการ | |||||||||||||||||||||||||||||||||||||||||
| 31 ธันวาคม 2566 | 1 กรกฎาคม 2566 | 1 ตุลาคม 2019 | 1 มกราคม 2566 | 1 มกราคม 2563 / 1 มกราคม 2566 | 25 พฤษภาคม 2018 | ||||||||||||||||||||||||||||||||||||
ดังที่เห็นได้ชัดจากตารางด้านบน บริษัทที่ปฏิบัติตาม CCPA, CPRA, VCDPA และ CPA มักจะไม่มีปัญหาในการปฏิบัติตามเกณฑ์ของ UCPA
UCPA ใช้ระบบการตั้งชื่อ "ผู้ควบคุม" และ "ผู้ประมวลผล" ของ GDPR และไม่ได้ให้สิทธิ์แก่ผู้บริโภคในการดำเนินคดีกับการละเมิดที่ถูกกล่าวหา เช่นเดียวกับกฎระเบียบของรัฐบาลอื่น ๆ ทำให้ผู้บริโภคสามารถควบคุมข้อมูลส่วนบุคคลของตน ได้
อย่างไรก็ตาม ยังทำให้เกิดความแตกต่างที่สำคัญบางอย่าง
ตัวอย่างเช่น UCPA ไม่ได้ให้สิทธิ์ผู้บริโภคในการแก้ไขข้อผิดพลาดในข้อมูลส่วนบุคคล และไม่ต้องการให้ผู้ควบคุมดำเนินการประเมินผลกระทบต่อการปกป้องข้อมูล (DPIA) ของการดำเนินการประมวลผลเฉพาะ
คำสั่งของ UCPA ครอบคลุมธุรกิจต่างๆ ในการแจ้งผู้บริโภคและให้โอกาสในการเลือกไม่รับก่อนที่จะประมวลผลข้อมูลที่ละเอียดอ่อน
สิ่งนี้ตรงกันข้ามกับ VCDPA และ CPA ซึ่งต้องมีสิทธิ์เลือกรับเพื่อรวบรวมและประมวลผลข้อมูลที่ละเอียดอ่อน นอกจากนี้ แทนที่จะส่งตรงไปยังอัยการสูงสุด (AG) การร้องเรียนของผู้บริโภคจะถูกส่งผ่านกระทรวงพาณิชย์ยูทาห์ ซึ่งสามารถส่งข้อกังวลไปยัง AG ได้
บทบัญญัติที่สำคัญของ UCPA
นี่คือบทบัญญัติที่สำคัญบางประการของ UCPA
คำจำกัดความกว้างๆ ของข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อน
ตาม UCPA ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องกับหรือสามารถเชื่อมโยงได้อย่างสมเหตุสมผลกับบุคคลที่ระบุหรือระบุตัวตนได้ โดยจัดประเภทข้อมูลที่ระบุเป็น "ข้อมูลที่ละเอียดอ่อน" ซึ่งอยู่ภายใต้มาตรฐานและข้อจำกัดเพิ่มเติมที่ไม่สามารถใช้ได้กับข้อมูลส่วนบุคคลประเภทอื่น
สิทธิของเจ้าของข้อมูลน้อยลง
ผู้บริโภคมีสิทธิพื้นฐานสี่ประการภายใต้ UCPA:
- สิทธิ์ในการเข้าถึง: สิทธิ์ที่จะทราบว่าผู้ควบคุมกำลังประมวลผลข้อมูลส่วนบุคคลของผู้บริโภคและมีสิทธิ์เข้าถึงข้อมูลนั้นหรือไม่
- สิทธิ์ในการลบ: สิทธิ์ของผู้บริโภคในการให้ข้อมูลส่วนบุคคลแก่ผู้ควบคุมถูกลบ
- สิทธิ์ในการพกพา: สิทธิ์ในการรับสำเนาข้อมูลส่วนบุคคลของผู้บริโภคที่เคยให้ไว้กับผู้ควบคุมในรูปแบบพกพาและเข้าถึงได้ง่าย ทำให้ผู้บริโภคส่งข้อมูลไปยังผู้ควบคุมรายอื่นได้โดยไม่มีข้อจำกัด
- สิทธิ์ในการยกเลิก: สิทธิ์ในการปฏิเสธการประมวลผลข้อมูลส่วนบุคคลสำหรับ "การโฆษณาที่ตรงเป้าหมาย" และ "การขาย"
แม้จะมีสิทธิ์ที่สำคัญทั้งหมดเหล่านี้ UCPA ซึ่งแตกต่างจากกฎหมายของรัฐอื่น ๆ ไม่ได้ให้ผู้บริโภคมีความสามารถในการแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้อง
ประกาศความเป็นส่วนตัวที่เข้าถึงได้และชัดเจน
UCPA ยังกำหนดให้ผู้ควบคุมต้องแจ้งผู้บริโภคซึ่งควรมีข้อมูลต่อไปนี้เป็นอย่างน้อย:
- ประเภทของข้อมูลส่วนบุคคลที่ ผู้ควบคุมดำเนินการ
- วัตถุประสงค์ ในการจัดการประเภทข้อมูลที่แตกต่างกัน
- ลูกค้าสามารถใช้สิทธิของตนได้อย่างไร
- ประเภทของข้อมูลส่วนบุคคลที่ผู้ควบคุม (ถ้ามี) แบ่งปันกับบุคคลที่สาม
- บุคคลที่สามที่ผู้ควบคุมทำการแลกเปลี่ยนข้อมูลส่วนบุคคล หากมี
ข้อตกลงการประมวลผลข้อมูลที่เบากว่า (DPA)
UCPA มีข้อตกลงการประมวลผลข้อมูลที่เบากว่า และกำหนดให้ผู้ควบคุมเชื่อมโยงกับผู้ประมวลผล โปรเซสเซอร์นี้จัดการและประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ควบคุม
เงื่อนไขที่ตัวควบคุมและตัวประมวลผลควรระบุ:
- ลักษณะและวัตถุประสงค์ของข้อตกลง
- ระยะเวลาในการประมวลผล
- ประเภทของเจ้าของข้อมูล
- สิทธิและภาระผูกพันของแต่ละฝ่าย
ผู้ประมวลผลควร บังคับให้ผู้รับเหมาช่วงรักษาความลับและดำเนินการผ่านสัญญาที่เป็นเอกสาร เท่านั้น สัญญานี้ถือว่าผู้รับเหมาช่วงเป็นผู้ประมวลผลหากดูแลข้อมูลในนามของผู้ประมวลผล
ไม่เหมือนกับกฎหมายความเป็นส่วนตัวอื่น ๆ UCPA ไม่ต้องการข้อกำหนดการประมวลผลข้อมูลเพื่อตรวจสอบโปรเซสเซอร์หรืออนุญาตให้ผู้ควบคุมเลือกไม่รับช่วงการรับเหมาช่วงตัวประมวลผล
ข้อกำหนดด้านความปลอดภัยที่คุ้นเคย
UCPA มีส่วนเกี่ยวกับความปลอดภัย ระบุว่า ผู้ควบคุมใช้แนวทางปฏิบัติด้านความปลอดภัยของข้อมูลในการบริหาร ทางเทคนิค และทางกายภาพที่เหมาะสมเพื่อรักษาความปลอดภัยข้อมูลส่วนบุคคล และขจัดความเสี่ยงที่คาดการณ์ได้ว่าจะเกิดอันตรายต่อผู้บริโภคตามขนาด ขอบเขต ปริมาณ และลักษณะของการประมวลผล
รายการตรวจสอบการปฏิบัติตามข้อกำหนด UCPA ของ Convert
องค์กรที่ดำเนินงานในยูทาห์ควรพิจารณา UCPA ในลักษณะเดียวกับกฎหมายของรัฐอื่นๆ อย่างไรก็ตาม การตรวจสอบการปฏิบัติตามข้อกำหนดทุกช่องอาจเป็นเรื่องยาก
เพื่อช่วยให้องค์กรสำรวจความซับซ้อนของ UCPA เราได้รวบรวมรายการตรวจสอบการปฏิบัติตามข้อกำหนดที่มีประโยชน์นี้
นี่คือสิ่งที่คุณต้องจำไว้:
- ตรวจสอบให้แน่ใจว่าธุรกิจของคุณอยู่ภายใต้ UCPA องค์กรต้องประเมินว่าเป็นไปตามเกณฑ์เขตอำนาจศาลของ UCPA หรือไม่ รวมถึงเกณฑ์ปริมาณข้อมูลและการเงิน
- พิจารณานโยบายความเป็นส่วนตัวของคุณอีกครั้ง แก้ไขนโยบายความเป็นส่วนตัวของคุณเพื่อสะท้อนถึงการประมวลผลข้อมูลส่วนบุคคล การสื่อสารสิทธิ์ของผู้บริโภคเพิ่มเติม และการระบุวิธีการสำหรับผู้บริโภคในการใช้สิทธิ์เหล่านั้น
- ใช้แนวทางปฏิบัติด้านความปลอดภัยของข้อมูลที่เหมาะสมเพื่อปกป้องข้อมูลของคุณ ตรวจสอบนโยบาย แนวทางปฏิบัติ และการควบคุมความปลอดภัยทางไซเบอร์ของคุณเพื่อให้แน่ใจว่าเป็นไปตามมาตรฐานอุตสาหกรรม
- อนุญาตให้ผู้เข้าชมเลือกไม่ให้มีการประมวลผลข้อมูลส่วนบุคคล (ถ้ามี) จัดเตรียมวิธีให้ผู้อยู่อาศัยในยูทาห์ใช้สิทธิ์ในการเลือกไม่รับหากบริษัทขายหรือใช้ข้อมูลส่วนบุคคลของตนสำหรับการโฆษณาตามเป้าหมาย
- ใช้กลไกการเก็บรวบรวมข้อมูลที่มีความละเอียดอ่อน ธุรกิจต้องไม่รวบรวมข้อมูลที่ละเอียดอ่อนโดยไม่ได้ให้คำเตือนแก่ผู้บริโภคและให้โอกาสในการยกเลิก เพื่อปฏิบัติตามภาระผูกพันนี้ บริษัทต่างๆ ควรใช้ระบบการเลือกไม่รับที่เหมาะสม
- รับและตอบข้อซักถามของผู้บริโภคอย่างทันท่วงที พัฒนาขั้นตอนในการยอมรับ ติดตาม รับทราบ และปฏิบัติตามคำขอของผู้บริโภคเพื่อใช้สิทธิ์ในการเข้าถึงและลบข้อมูล UCPA
แปลงเคารพกฎหมายความเป็นส่วนตัวทั้งหมด (EU + US)
การปฏิบัติตามกฎหมายของยูทาห์ควรได้รับการจัดการในลักษณะเดียวกับกฎหมายของรัฐอื่นๆ โดยมีการเปลี่ยนแปลงภาษาเล็กน้อยเพื่อความชัดเจนซึ่งมีผลบังคับใช้เฉพาะกับผู้ที่อาศัยอยู่ในยูทาห์เท่านั้น UCPA อาจต้องการการกำหนดเป้าหมายตามภูมิศาสตร์ของข้อความการเลือกไม่รับที่แตกต่างกัน ซึ่งต้องระบุไว้อย่างชัดเจน
Convert จับตาดูกฎหมายความเป็นส่วนตัวและความปลอดภัยทางไซเบอร์อย่างใกล้ชิด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ “วิธีเตรียมตัวสำหรับ UCPA” และกฎหมายความเป็นส่วนตัวฉบับใหม่อื่นๆ ของสหรัฐอเมริกา โปรดดู แผนงาน GDPR ของเรา
