Zasebnost ZDA

To so pomembne norme ZDA o zasebnosti

Kateri zakoni o varstvu podatkov obstajajo v ZDA?

Podjetja, ki se nahajajo v ZDA, poslujejo ali zagotavljajo storitve ali kako drugače poslujejo z rezidenti ZDA, so najverjetneje zajeta v enem od številnih zakonov o varstvu podatkov.

• Za razliko od mnogih drugih držav so zakoni o varstvu podatkov v ZDA urejeni na državni ravni – dokler ni nacionalnega zakona o varstvu podatkov. Podjetja bi morala zato preveriti, ali in kateri zvezni zakoni veljajo zanje. Podrobneje so to lahko:

• CCPA / CPRA – Kalifornija

  CCPA pomeni kalifornijski zakon o zasebnosti potrošnikov in je bil sprejet leta 2019. Velja zlasti v Kaliforniji ali v zvezi s prebivalci Kalifornije. »Posodobitev« CCPA je CPRA ali kalifornijski zakon o pravicah do zasebnosti. Z ZKP so določeni in zaostreni nekateri predpisi.

• Nevada-NPICICA

  Nevadski zakon o zasebnosti, Nevadski zakon o zasebnosti informacij, zbranih na internetu od potrošnikov (NPICICA), je začel veljati 1. oktobra 2019 in poudarja pravice potrošnikov do nadzora svojih osebnih podatkov, zbranih na spletu. Spremembe, kot sta zakon senata 220 (SB-220) in zakon senata 260 (SB-260), so te pravice razširile tako, da so od operaterjev spletnih strani zahtevale, da zagotovijo mehanizme, ki potrošnikom omogočajo, da zavrnejo prodajo svojih podatkov. Čeprav zakoni o zasebnosti v Nevadi niso tako celoviti kot v drugih zveznih državah, kot je Kalifornija, še vedno predvidevajo kazni za kršitve, z globami do 5000 USD na kršitev, ki jih izda državni tožilec Nevade. Podjetja morajo razkriti določene informacije v svojih politikah zasebnosti in zagotoviti mehanizme, ki potrošnikom omogočajo, da zavrnejo prodajo podatkov.

• VCDPA—Virginija

  VCDPA pomeni Virginia Consumer Data Protection Act in se nanaša na podjetja, ki poslujejo v zvezni državi Virginia ali ciljajo na državljane te države. VCDPA je začel veljati 1. januarja 2023.

• CPA—Colorado

  CPA ali Colorado Privacy Act je zakon o zasebnosti zvezne države Kolorado. Ta zakon je začel veljati 1. julija 2023 in ga morajo izvajati podjetja s sedežem v Koloradu ali obdelujejo podatke prebivalcev te države. Zakon nalaga zahtevo za spletna mesta, univerzalni mehanizem za izključitev, ki zahteva, da spletna mesta svojim uporabnikom zagotovijo en sam gumb za izključitev za storitve trženja in analitike, ki jih uporablja spletno mesto.

• UCPA-Utah

  Ameriški zakon o varstvu podatkov za zvezno državo Utah v zahodni ZDA se imenuje UCPA ali Utah Consumer Privacy Act. Za razliko od obeh prej omenjenih zakonov, UCPA začne veljati šele 31. decembra 2023. Ta zakon vpliva tudi na vsa podjetja, ki obdelujejo določeno količino podatkov (tukaj 100.000 na leto) prebivalcev države.

• CAPDP—Connecticut

  CTDPA pomeni Connecticutski zakon o zasebnosti podatkov (znan tudi kot Connecticutski zakon o zasebnosti osebnih podatkov in spletnem nadzoru) in je zvezni zakon o varstvu podatkov v zvezni državi Connecticut. Zakon je začel veljati 1. julija 2023 in vpliva na podjetja, ki imajo sedež v državi, poslujejo v njej ali obdelujejo podatke rezidentov države.

• TDPSA – Teksas

  Teksaški zakon o zasebnosti in varnosti podatkov (TDPSA), ki začne veljati 1. julija 2024, velja za podjetja, ki delujejo v Teksasu ali zagotavljajo storitve prebivalcem Teksasa.

• OCDPA-Oregon

  Oregonski zakon o zasebnosti podatkov potrošnikov (OCDPA), ki začne veljati 1. julija 2024, velja za podjetja, ki poslujejo v zvezni državi ali nudijo storitve njenim prebivalcem. Vključuje vloge, podobne GDPR, za upravljavce in obdelovalce podatkov, zahteva podrobna obvestila o varstvu podatkov in zahteva ocene varstva podatkov za dejavnosti z visokim tveganjem.

• MTCDPA-Montana

  Montanski zakon o zasebnosti podatkov potrošnikov (MTCDPA), ki začne veljati 1. oktobra 2024, se uporablja za podjetja, ki poslujejo v Montani ali ciljajo na prebivalce Montane, in določa pragove uporabnosti glede na količino obdelanih osebnih podatkov in prihodke, ustvarjene s prodajo osebnih podatkov, izključitev določenih podjetij in vrst podatkov.

• CDPA-Iowa

  Zakon o varstvu podatkov potrošnikov Iowe, ki začne veljati 1. januarja 2025, je namenjen upravljavcem podatkov in obdelovalcem podatkov, ki obdelujejo znatne količine osebnih podatkov prebivalcev Iowe ali ustvarjajo znatne prihodke s prodajo takih informacij.

• DPDPA-Delaware

  Delawarejev zakon o zasebnosti osebnih podatkov, ki začne veljati 1. januarja 2025, vzpostavlja stališče Delawareja glede varstva potrošniških podatkov, skladno s splošnimi trendi v Združenih državah, vendar je opazen po tem, da ne izvzema večine neprofitnih organizacij in visokošolskih ustanov.

• TIPA-Tennessee

  Tennesseejev zakon o zaščiti informacij (TIPA), ki začne veljati 1. julija 2025, določa stroga merila za to, kako morajo podjetja ravnati z osebnimi podatki prebivalcev Tennesseeja. TIPA določa restriktivne pragove uporabnosti na podlagi prometa in obsega obdelave podatkov ter opredeljuje podrobne pravice potrošnikov, vključno z dostopom, popravkom, izbrisom, prenosljivostjo podatkov in ugovorom glede uporabe določenih podatkov.

• CDPA-Indiana

  Zakon o varstvu podatkov v državi Indiana, ki začne veljati 1. januarja 2026, obravnava tako »upravljavce podatkov« kot »obdelovalce podatkov«, ki delujejo v Indiani ali ciljajo na prebivalce Indiane. Zakon določa določene pragove za uporabnost in izvzema različne subjekte, kot so vladne agencije in subjekti, ki jih pokriva HIPAA.

• MHMD-Washington

  Zakon My Health My Data (MHMD) zvezne države Washington, ki je začel veljati 31. marca 2024, nalaga stroge zahteve podjetjem, ki zbirajo, delijo ali obdelujejo zdravstvene podatke. MHMD zahteva predhodno soglasje za zbiranje zdravstvenih informacij in dodatno soglasje za njihovo razkritje zaradi varovanja zasebnosti potrošnikov zdravstvenih storitev. Zakon določa podrobne zahteve glede varnosti podatkov in omejuje geografsko omejevanje v bližini ponudnikov zdravstvenih storitev.

• MODPA-Maryland

  Zakonodajalci Marylanda so sprejeli Maryland Online Data Privacy Act (MODPA), zakon o zasebnosti, ki bo začel veljati 1. oktobra 2025 po sprejetju. Ključne določbe MODPA vključujejo prepoved prodaje občutljivih podatkov, strožje zahteve glede zmanjšanja podatkov, obvezne ocene zasebnosti, edinstvene ciljno usmerjene zahteve glede oglaševanja in pravice do zavrnitve s posodobljenimi obvestili o zasebnosti. Neupoštevanje lahko povzroči globe do 10.000 $ na kršitev.

• FDBR-Florida

  Zakon o digitalnih pravicah Floride (FDBR) je bil podpisan 6. junija 2023 in bo začel veljati 1. julija 2024. Ta zakon uvaja številne ukrepe za varstvo zasebnosti potrošnikov. Velja predvsem za velika podjetja z letnimi bruto prihodki v višini več kot milijardo dolarjev, pri čemer določeni pragovi veljajo za podjetja, ki so močno vključena v digitalno oglaševanje ali upravljajo velike digitalne platforme. FDBR zagotavlja široke pravice do zavrnitve zbiranja podatkov s tehnologijami za prepoznavanje glasu in obraza, določa stroge omejitve pri zbiranju podatkov o nadzoru brez aktivne privolitve uporabnika in zahteva jasna obvestila za prodajo občutljivih in biometričnih podatkov. Poleg tega zakon predvideva posebno zaščito podatkov otrok in vladnim agencijam prepoveduje moderiranje vsebin na družbenih omrežjih, čeprav obstajajo nekatere izjeme.

• NDPA-Nebraska

  Guverner Nebraske je 17. aprila 2024 podpisal zakon o zasebnosti podatkov Nebraske, ki bo začel veljati 1. januarja 2025. Zakon nalaga obveznosti podjetjem, ki obdelujejo osebne podatke v Nebraski, in daje potrošnikom pravice, kot so potrditev obdelave podatkov, popravek netočnosti, izbris osebnih podatkov in zavrnitev nekaterih dejavnosti obdelave podatkov. Zakon od upravljavcev podatkov zahteva jasna obvestila o varstvu podatkov, omejitev zbiranja podatkov, uvedbo postopkov za varovanje podatkov in izvajanje presoj o varstvu podatkov. Državni tožilec Nebraske lahko sankcionira kršitve z denarno kaznijo do 7500 USD na kršitev.

• SB 255 – New Hampshire

  Guverner New Hampshira je 6. marca 2024 podpisal senatni predlog zakona 255, ki bo začel veljati 1. januarja 2025. Zakon se uporablja za podjetja, ki delujejo v New Hampshiru in obdelujejo osebne podatke, in določa minimalne podatke, omejitev namena in obveznosti glede zasebnosti ter pravice potrošnikov, kot so dostop, popravek, izbris, prenosljivost in zavrnitev. Izvrševanje zakona je izključno v pristojnosti državnega tožilca New Hampshira, ki ima 60 dni časa, da odpravi pomanjkljivosti.

• NJPA-New Jersey

  Pri 16. januarja 2024 je guverner New Jerseyja podpisal New Jersey Privacy Act (NJPA), ki bo začel veljati 15. januarja 2025. NJPA od podjetij zahteva, da sprejmejo ukrepe, podobne drugim državnim zakonom o zasebnosti, kot so: B. o zmanjševanju podatkov, varnosti podatkov in pravicah prizadetih, s posebnim poudarkom na občutljivih podatkih in zaščiti otrok. Upravljavci in obdelovalci podatkov morajo upoštevati določbe o zahtevah potrošnikov, varnosti podatkov in obveščanju o kršitvah podatkov. Zakon uveljavlja izključno državni tožilec New Jerseyja in vsebuje določbe za ureditev in pravna sredstva za potrošnike.

• KCDPA-Kentucky

  Kentucky je 4. aprila 2024 sprejel zakon Kentucky Consumer Data Privacy Act (KCDPA), ki bo začel veljati 1. januarja 2026. Zakon ureja obdelavo osebnih podatkov, določa pravice potrošnikov in pooblašča generalnega državnega tožilca Kentuckyja za uveljavljanje zakona. Zakon se uporablja za upravljavce, ki obdelujejo podatke prebivalcev Kentuckyja, z izjemami za različne subjekte in vrste podatkov, vključno s finančnimi in zdravstvenimi podatki. Upravljavci morajo zagotoviti jasna obvestila o zasebnosti, omejiti zbiranje podatkov, zagotoviti varnost in spoštovati pravice potrošnikov, s poudarkom na tem, da občutljivih podatkov ne obdelujejo brez izrecnega soglasja. Za izvrševanje je odgovoren generalni državni tožilec Kentuckyja, ki pošlje 30-dnevno obvestilo, da popravi kršitve in morebitne civilne kazni.