Các vấn đề về quyền riêng tư dữ liệu và các quy định liên quan là một số thách thức lớn nhất mà các doanh nghiệp phải đối mặt hiện nay. Trong khi các công ty bị ảnh hưởng bởi GDPR cảm thấy làn sóng tiền phạt, yêu cầu và tiêu chuẩn ban đầu, thì quyền riêng tư hiện là một vấn đề quốc tế.
Hoa Kỳ đã bắt đầu tiến tới các quy định mang tính cách mạng về quyền riêng tư. Với luật được thông qua ở California và Nevada và các dự luật được lên kế hoạch ở nhiều tiểu bang khác, các doanh nghiệp sẽ bị ảnh hưởng trong những tháng tới.
Bài viết này phân tích các phần quan trọng của luật / dự luật quy định về quyền riêng tư của mỗi tiểu bang, bao gồm ai sẽ chi phối luật / dự luật này có hiệu lực, hình phạt, cách đạt được sự tuân thủ và lý do tại sao các bang thực hiện hành động với chính phủ liên bang để bảo vệ dữ liệu cá nhân của người tiêu dùng.
Luật Quyền riêng tư của Người tiêu dùng California
Là một trong những luật về quyền riêng tư đầu tiên được thông qua sau GDPR, CCPA đang đóng vai trò như một hình mẫu cho các dự luật khác ở Hoa Kỳ. Từ 1 Kể từ tháng 1 năm 2020, CCPA áp dụng cho một doanh nghiệp thu thập / xử lý dữ liệu cá nhân của cư dân California hoặc hoạt động kinh doanh ở California. Các hoạt động này phải tuân theo CCPA nếu:
- Vượt tổng doanh thu 25 triệu đô la
- Mua, nhận, bán hoặc chia sẻ thông tin cá nhân (tổng cộng) từ 50.000 hộ gia đình hoặc thiết bị tiêu dùng trở lên
- Kiếm 50% trở lên doanh thu hàng năm của bạn từ việc bán thông tin cá nhân của người tiêu dùng
CCPA cung cấp cho người tiêu dùng các quyền tương tự đối với GDPR, bao gồm việc tiết lộ thông tin cá nhân và yêu cầu dữ liệu cá nhân. Các doanh nghiệp phải đáp ứng các yêu cầu của người tiêu dùng có thể xác minh bằng thông tin, chẳng hạn như danh mục và dữ liệu thông tin cá nhân, các bên thứ ba và danh mục các bên thứ ba được chia sẻ dữ liệu và hơn thế nữa.
Phần, được gọi là Yêu cầu chủ đề dữ liệu (DSR), cung cấp cho người dùng quyền truy cập vào các tùy chọn để xóa thông tin cá nhân của họ. Ngoài ra, CCPA yêu cầu các công ty hiển thị liên kết “Không bán thông tin cá nhân của tôi” trên trang chủ của họ. CCPA sẽ được thực thi bởi Bộ trưởng Tư pháp và bao gồm tiền phạt lên đến $ 7500 cho mỗi vi phạm cá nhân.
Luật về quyền riêng tư của Nevada
Luật về quyền riêng tư của Nevada đã được ký vào ngày 29 tháng 5 năm 2019 và có hiệu lực 1 Tháng 10 năm 2019, ba tháng trước CCPA nổi tiếng hơn. Các luật rất giống nhau nhưng có sự khác biệt lớn về cách định nghĩa “bán”. Luật Nevada hạn chế hơn, không bao gồm tất cả các nhà cung cấp dịch vụ và khoan dung hơn với các tổ chức tài chính. Theo InfoLawGroup, luật CCPA và Nevada giống nhau ở chỗ đều yêu cầu “các doanh nghiệp xây dựng quy trình để xác minh tính hợp pháp của yêu cầu miễn trừ của người tiêu dùng và yêu cầu các doanh nghiệp phải trả lời yêu cầu trong vòng 60 ngày”. Như ở California, việc thực thi của Nevada phụ thuộc vào Bộ trưởng Tư pháp và bao gồm tiền phạt lên đến đô la 5.000 cho mỗi lần vi phạm.
Luật về quyền riêng tư của New York
Vào tháng 5 năm 2019, Thượng nghị sĩ bang New York Kevin Thomas đã giới thiệu một trong những dự luật bảo mật dữ liệu sáng tạo nhất. Các yêu cầu là tiêu chuẩn và bao gồm khả năng cho cư dân truy cập, sửa, xóa và giữ lại dữ liệu cá nhân của bên thứ ba của họ.
Tuy nhiên, các điều khoản rộng hơn đã được bổ sung, chẳng hạn như nghĩa vụ đối với người quản lý dữ liệu và quyền của cư dân khởi kiện doanh nghiệp nếu họ bị tổn hại do vi phạm. Quyền hành động riêng tư này là một sự khác biệt quan trọng so với các quy định khác và có thể khuyến khích người tiêu dùng truy tố các doanh nghiệp không tuân thủ. Dự luật cũng rộng hơn CCPA, bao gồm bất kỳ doanh nghiệp nào có “dữ liệu nhạy cảm của cư dân New York”, không có yêu cầu thu nhập đối với các pháp nhân được bảo hiểm.
Với luật được thông qua ở hai tiểu bang, dự luật ở một tiểu bang khác và chín tiểu bang thông qua luật thông báo vi phạm dữ liệu mới, chúng ta đang thấy sự khởi đầu của một sự thay đổi lớn đối với việc bảo vệ dữ liệu người tiêu dùng và trách nhiệm của công ty. họ kiểm soát và xử lý chúng.
Để hỗ trợ việc tuân thủ, các công ty cần phải biết các luật hiện hành, các quy định trong tương lai đang được thực hiện và tiềm năng áp dụng các tiêu chuẩn khác nhau ở Hoa Kỳ. Việc tạo ra các quy trình quản lý dữ liệu, khả năng chuyển và ánh xạ dữ liệu cũng như các biện pháp kiểm soát kích hoạt người dùng là một số hoạt động cần thiết đối với các công ty thu thập dữ liệu cá nhân.
