Yhdysvaltain tietosuoja

Nämä ovat tärkeitä Yhdysvaltain tietosuojanormeja

Mitä tietosuojalakeja Yhdysvalloissa on?

Yhdysvaltoihin sijoittautuneisiin, siellä liiketoimintaa tai palveluja tarjoaviin yrityksiin tai muuten Yhdysvaltojen kansalaisten kanssa tekemiseen liittyviin yrityksiin sovelletaan todennäköisesti jotakin useista tietosuojalaeista.

• Toisin kuin monissa muissa maissa, Yhdysvalloissa tietosuojalakeja säännellään osavaltiotasolla – kunnes on olemassa kansallinen tietosuojalaki. Yritysten tulee siksi tarkistaa, sovelletaanko niihin liittovaltion lakeja. Erityisesti nämä voisivat olla:

• CCPA / CPRA – Kalifornia

  CCPA on lyhenne sanoista California Consumer Privacy Act, ja se hyväksyttiin vuonna 2019. Se pätee erityisesti Kaliforniassa tai suhteessa Kalifornian asukkaisiin. CCPA:n ”päivitys” on CPRA tai California Privacy Rights Act. CPRA:ssa joitain säännöksiä tarkennetaan ja tiukennetaan.

• Nevada-NPICICA

  Nevadan tietosuojalaki, Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA), astui voimaan 1. lokakuuta 2019, ja se korostaa kuluttajien oikeutta hallita verkossa kerättyjä henkilötietojaan. Muutokset, kuten senaatin lakiesitys 220 (SB-220) ja senaatin lakiesitys 260 (SB-260), laajensivat näitä oikeuksia vaatimalla verkkosivustojen ylläpitäjiä tarjoamaan mekanismeja, joiden avulla kuluttajat voivat kieltäytyä tietojensa myynnistä. Vaikka Nevadan tietosuojalainsäädäntö ei ole yhtä kattava kuin muiden osavaltioiden, kuten Kalifornian, lait, ne sisältävät silti rangaistuksia rikkomuksista, ja Nevadan oikeusministeri määrää jopa 5 000 dollarin sakkoja rikkomusta kohti. Yritysten on julkistettava tietyt tiedot tietosuojakäytännöissään ja tarjottava mekanismeja, joiden avulla kuluttajat voivat kieltäytyä tietojen myynnistä.

• VCDPA – Virginia

  VCDPA on lyhenne sanoista Virginia Consumer Data Protection Act ja viittaa yrityksiin, jotka harjoittavat liiketoimintaa Virginian osavaltiossa tai palvelevat sen asukkaita. VCDPA tuli voimaan 1.1.2023.

• CPA – Colorado

  CPA tai Colorado Privacy Act on Coloradon osavaltion tietosuojalaki. Tämä laki tuli voimaan 1. heinäkuuta 2023, ja Coloradossa sijaitsevien yritysten tai osavaltion asukkaiden tietoja käsittelevien yritysten on pantava se täytäntöön. Laki asettaa verkkosivustoille vaatimuksen, yleisen opt-out-mekanismin, joka edellyttää, että verkkosivustot tarjoavat käyttäjilleen yhden opt-out-painikkeen verkkosivuston käyttämille markkinointi- ja analytiikkapalveluille.

• UCPA-Utah

  Yhdysvaltain länsiosan Utahin osavaltion tietosuojalaki on nimeltään UCPA tai Utah Consumer Privacy Act. Toisin kuin kaksi edellä mainittua lakia, UCPA tulee voimaan vasta 31. joulukuuta 2023. Tämä laki koskee myös kaikkia yrityksiä, jotka käsittelevät tietyn määrän (tässä 100 000 vuodessa) osavaltion asukkaiden tietoja.

• CAPDP – Connecticut

  CTDPA on lyhenne sanoista Connecticut Data Privacy Act (tunnetaan myös nimellä Connecticut Act Concerning Personal Data Privacy and Online Monitoring) ja se on Connecticutin osavaltion liittovaltion tietosuojalaki. Laki tuli voimaan 1.7.2023 ja koskee yrityksiä, jotka sijaitsevat osavaltiossa, harjoittavat liiketoimintaa tai käsittelevät tietoja osavaltion asukkailta.

• TDPSA – Texas

  1. heinäkuuta 2024 voimaan tullut Texas Data Privacy and Security Act (TDPSA) koskee yrityksiä, jotka toimivat Texasissa tai tarjoavat palveluja Texasin asukkaille.

• OCDPA-Oregon

  Oregon Consumer Data Privacy Act (OCDPA), joka tuli voimaan 1.7.2024, koskee yrityksiä, jotka toimivat osavaltiossa tai tarjoavat palveluja sen asukkaille. Se sisältää GDPR:n kaltaiset roolit rekisterinpitäjille ja käsittelijöille, vaatii yksityiskohtaisia ​​tietosuojailmoituksia ja vaatii tietosuoja-arviointeja korkean riskin toiminnasta.

• MTCDPA-Montana

  1.10.2024 voimaan tullut Montana Consumer Data Privacy Act (MTCDPA) koskee Montanassa liiketoimintaa harjoittavia tai Montanan asukkaille suunnattuja yrityksiä, ja siinä asetetaan sovellettavuuskynnykset käsiteltyjen henkilötietojen määrän ja henkilötietojen myynnistä saatujen tulojen perusteella, tiettyjä yrityksiä ja tietotyyppejä lukuun ottamatta.

• CDPA-Iowa

  Iowa Consumer Data Protection Act, joka tulee voimaan 1. tammikuuta 2025, koskee rekisterinpitäjiä ja tietojenkäsittelijöitä, jotka käsittelevät merkittäviä määriä Iowan asukkaiden henkilökohtaisia ​​tietoja tai saavat merkittäviä tuloja tällaisten tietojen myynnistä.

• DPDPA-Delaware

  Delawaren henkilötietojen tietosuojalaki, joka tuli voimaan 1. tammikuuta 2025, vahvistaa Delawaren kannan kuluttajatietojen suojaamiseen, mikä on yhdenmukainen Yhdysvaltojen yleisten suuntausten kanssa, mutta on huomattava, koska se ei vapauta useimpia voittoa tavoittelemattomia organisaatioita ja korkeakouluja.

• TIPA-Tennessee

  1. heinäkuuta 2025 voimaan tullut Tennessee Information Protection Act (TIPA) asettaa tiukat kriteerit sille, kuinka yritysten on käsiteltävä Tennesseen asukkaiden henkilötietoja. TIPA asettaa rajoittavat sovellettavuuskynnykset liikevaihdon ja tietojenkäsittelyn määrän perusteella ja määrittelee yksityiskohtaiset kuluttajan oikeudet, mukaan lukien pääsy, oikaisu, poistaminen, tietojen siirrettävyys ja tiettyjen tietojen käytön vastustaminen.

• CDPA-Indiana

  Indianan tietosuojalaki, joka tuli voimaan 1. tammikuuta 2026, koskee sekä ”rekisterinpitäjiä” että ”tietojen käsittelijöitä”, jotka toimivat Indianassa tai jotka on suunnattu Indianan asukkaille. Laki asettaa tietyt sovellettavuuden kynnykset ja vapauttaa eri tahot, kuten valtion virastot ja HIPAA:n piiriin kuuluvat yhteisöt.

• MHMD-Washington

  Washingtonin osavaltion My Health My Data Act (MHMD), joka tuli voimaan 31. maaliskuuta 2024, asettaa tiukat vaatimukset yrityksille, jotka keräävät, jakavat tai käsittelevät terveystietoja. MHMD edellyttää ennakkolupaa terveystietojen keräämiseen ja lisäsuostumusta niiden luovuttamiseen terveydenhuollon kuluttajien yksityisyyden suojaamiseksi. Laki asettaa yksityiskohtaiset tietoturvavaatimukset ja rajoittaa geoaitausta terveydenhuollon tarjoajien lähellä.

• MODPA-Maryland

  Marylandin lainsäätäjät ovat hyväksyneet Maryland Online Data Privacy Actin (MODPA), tietosuojalain, joka tulee voimaan 1. lokakuuta 2025 hyväksymisen jälkeen. MODPA:n keskeisiä säännöksiä ovat arkaluontoisten tietojen myyntikielto, tiukemmat tiedon minimointivaatimukset, pakolliset tietosuojaarvioinnit, yksilölliset kohdistetun mainonnan vaatimukset ja kieltäytymisoikeudet päivitetyillä tietosuojailmoituksilla. Laiminlyönnistä voi seurata jopa 10 000 dollarin sakko rikkomusta kohti.

• FDBR-Florida

  Florida Digital Bill of Rights (FDBR) allekirjoitettiin laiksi 6. kesäkuuta 2023 ja se tulee voimaan 1. heinäkuuta 2024. Tämä laki sisältää useita toimenpiteitä kuluttajien yksityisyyden suojelemiseksi. Se koskee ensisijaisesti suuria yrityksiä, joiden vuotuiset bruttotulot ovat yli miljardi dollaria, ja tietyt kynnysarvot koskevat yrityksiä, jotka ovat vahvasti mukana digitaalisessa mainonnassa tai operoivat suuria digitaalisia alustoja. FDBR tarjoaa laajat kieltäytymisoikeudet tiedonkeruulle ääni- ja kasvojentunnistustekniikoiden avulla, asettaa tiukat rajat valvontatietojen keräämiselle ilman aktiivista käyttäjän suostumusta ja edellyttää selkeitä ilmoituksia arkaluonteisten ja biometristen tietojen myynnistä. Lisäksi laissa säädetään lasten tietojen erityisestä suojasta ja kielletään valtion virastoja valvomasta sisältöä sosiaalisessa mediassa, vaikka joitakin poikkeuksia onkin tehty.

• NDPA-Nebraska

  Nebraskan kuvernööri allekirjoitti 17. huhtikuuta 2024 Nebraskan tietosuojalain, joka tulee voimaan 1. tammikuuta 2025. Laki asettaa velvoitteita yrityksille, jotka käsittelevät henkilötietoja Nebraskassa ja myöntää kuluttajille oikeuksia, kuten tietojen käsittelyn vahvistamisen, epätarkkuuksien korjaamisen, henkilötietojen poistamisen ja tietyistä tietojenkäsittelytoimista kieltäytymisen. Laki velvoittaa rekisterinpitäjiä antamaan selkeät tietosuojailmoitukset, rajoittamaan tiedonkeruuta, ottamaan käyttöön tietoturvamenettelyt ja suorittamaan tietosuojaselvitykset. Nebraskan oikeusministeri voi määrätä rikkomuksista sakkoja, jotka ovat enintään 7 500 dollaria rikkomusta kohti.

• SB 255 – New Hampshire

  New Hampshiren kuvernööri allekirjoitti 6. maaliskuuta 2024 senaatin lain 255, joka tulee voimaan 1. tammikuuta 2025. Lakia sovelletaan New Hampshiressa toimiviin yrityksiin, jotka käsittelevät henkilötietoja ja asettavat tiedon minimointia, käyttötarkoituksen rajoittamista ja yksityisyyttä koskevia velvoitteita sekä kuluttajien oikeuksia, kuten pääsyä, korjaamista, poistamista, siirrettävyyttä ja opt-out-oikeuksia. Lain täytäntöönpano on yksinomaan New Hampshiren oikeusministerin vastuulla, jolla on 60 päivää aikaa korjata puutteet.

• NJPA-New Jersey

  klo New Jerseyn kuvernööri allekirjoitti 16. tammikuuta 2024 New Jerseyn tietosuojalain (NJPA), joka tulee voimaan 15. tammikuuta 2025. NJPA vaatii yrityksiä ryhtymään toimenpiteisiin, jotka ovat samanlaisia ​​kuin muut osavaltion tietosuojalait, kuten: B. tietojen minimointi, tietoturva ja asianomaisten oikeudet kiinnittäen erityistä huomiota arkaluonteisiin tietoihin ja lasten suojeluun. Rekisterinpitäjien ja käsittelijöiden on noudatettava kuluttajapyyntöjä, tietoturvaa ja tietoturvaloukkausilmoitusta koskevia säännöksiä. Lain täytäntöönpanoa valvoo yksinomaan New Jerseyn oikeusministeri, ja se sisältää säännöksiä kuluttajien sääntelystä ja hyvityksestä.

• KCDPA-Kentucky

  Kentucky hyväksyi Kentucky Consumer Data Privacy Actin (KCDPA) 4.4.2024, joka tulee voimaan 1.1.2026. Laki säätelee henkilötietojen käsittelyä, vahvistaa kuluttajan oikeudet ja valtuuttaa Kentuckyn oikeusministerin valvomaan lakia. Laki koskee rekisterinpitäjiä, jotka käsittelevät Kentuckyn asukkaiden tietoja, poikkeuksin eri tahoille ja tietotyypeille, mukaan lukien talous- ja terveystiedot. Rekisterinpitäjien on annettava selkeät tietosuojailmoitukset, rajoitettava tiedonkeruuta, varmistettava turvallisuus ja kunnioitettava kuluttajien oikeuksia keskittyen siihen, että arkaluonteisia tietoja ei käsitellä ilman nimenomaista suostumusta. Täytäntöönpanosta vastaa Kentuckyn oikeusministeri, joka antaa 30 päivän ilmoituksen rikkomusten ja mahdollisten siviilioikeudellisten seuraamusten korjaamisesta.