Správa Ochrany Osobních Údajů

Průvodce federálními a státními zákony na ochranu osobních údajů v USA

Průvodce federálními a státními zákony na ochranu osobních údajů v USA



V digitálním věku se ochrana soukromí dat a regulace staly důležitější než kdy jindy

Nyní je prioritou většiny jednotlivců, organizací a vlád po celém světě. V důsledku toho prakticky každá svobodná země na celém světě, včetně Spojených států, zavedla nějakou formu regulace ochrany údajů nebo jinou, která reguluje osobní informace shromažďuje, ukládá a sdílí. Jakou kontrolu má subjekt údajů nad svými osobními údaji.



Ačkoli například v USA neexistuje žádný centrální, všezahrnující federální zákon o ochraně osobních údajů, jako je např. EU GDPR . Několik vertikálně zaměřených federálních zákonů o ochraně osobních údajů se však zaměřuje na ten či onen sektor ekonomiky, stejně jako nová generace zákonů na ochranu soukromí orientovaných na spotřebitele pocházející ze států. Spojené státy Federální obchodní komise (FTC) je agenturou, která má pravomoc prosazovat tato nařízení na federální úrovni, zatímco státní zástupci dělají totéž na státní úrovni.

Tento článek se podrobně podívá na různé federální a státní zákony na ochranu osobních údajů ve Spojených státech. Doufejme, že vám to pomůže plně porozumět ustanovením těchto zákonů a připravit vaši firmu na dodržování.



Federální zákony na ochranu osobních údajů

Zákon o ochraně osobních údajů

The Zákon o ochraně osobních údajů je federální zákon Spojených států přijatý 31. prosince 1974, kterým se řídí shromažďování, používání a šíření osobních údajů o osobách držených federálními úřady.

Byl vytvořen v reakci na obavy, jak by vytváření a používání počítačových databází mohlo ovlivnit práva jednotlivců na soukromí.

Zákon se vztahuje pouze na občany a osoby s trvalým pobytem v USA. Žalovat podle zákona o ochraně osobních údajů tak může pouze občan nebo osoba s trvalým pobytem. Kromě toho se zákon vztahuje pouze na některé federální vládní agentury.

Povinnost zákona o ochraně osobních údajů: Zákon o ochraně osobních údajů chrání soukromí občanů prostřednictvím následujících pravidel a práv při nakládání s osobními údaji:

  • Občané mají právo na přístup k jakýmkoli údajům drženým vládními úřady; a právo kopírovat a opravovat případné informační chyby
  • Vládní agentury se musí při shromažďování osobních údajů a nakládání s nimi řídit zásadami minimalizace údajů (relevantní a nezbytné informace k plnění svých účelů) nebo „spravedlivými informačními postupy“.
  • Sdílení informací mezi jinými federálními (a nefederálními) agenturami je omezeno a povoleno pouze za určitých podmínek
  • Jednotlivci mají právo žalovat vládu za porušení jejích ustanovení

Ze zákona však existují specifické výjimky, které umožňují osobní údaje za určitých podmínek. Tyto výjimky znamenají, že soukromí jednotlivce není zcela zaručeno, jak by si tvůrci zákona mohli přát. Dále se zákon o ochraně soukromí vztahuje pouze na záznamy držené „agenturou“. Proto záznamy vedené soudy, výkonnými složkami nebo neagenturními vládními subjekty nepodléhají ustanovením zákona o ochraně osobních údajů a na tyto záznamy neexistuje žádný nárok.

Sankce za porušení zákona o ochraně osobních údajů: Zákon o ochraně osobních údajů poskytuje občanskoprávní a trestní sankce za porušení ustanovení zákona. Níže jsou uvedeny některé z příslušných sankcí za nedodržení:

  • Pokud agentura odmítne na žádost upravit záznam jednotlivce, může jednotlivec žalovat u civilního soudu, aby byl záznam upraven. Soud může také přiznat jednotlivé přiměřené odměny za právní zastoupení a další náklady na soudní řízení, které má zaplatit agentura
  • Pokud kterýkoli zaměstnanec vládní agentury úmyslně prozradí PII, bude mu uložena pokuta maximálně 5 000 USD
  • Pokud kterýkoli zaměstnanec agentury úmyslně vede záznamový systém, aniž by prozradil jeho existenci a relevantní podrobnosti, jak je uvedeno výše, může mu být uložena pokuta maximálně 5 000 USD.
  • Každý, kdo si pod falešnou záminkou úmyslně vyžádá od agentury osobní záznamy, může být pokutován maximálně 5 000 $

Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA).

HIPAA je federální zákon, který byl podepsán 21. srpna 1996.Byl vytvořen především za účelem modernizace toku zdravotnických informací a stanovení toho, jak by měla být chráněna důvěrnost a integrita osobních údajů (PII) uchovávaných poskytovateli zdravotní péče..

HIPAA je zásadní, protože zajišťuje, aby poskytovatelé zdravotní péče a související organizace zavedly odpovídající ochranná opatření na ochranu citlivých osobních zdravotních informací.

Povinnosti HIPAA: Poskytovatelé zdravotní péče jsou povinni poskytnout záruky na ochranu důvěrnosti, integrity a dostupnosti soukromých zdravotních informací (PHI). Následující pravidla definují strukturu všeho, co souvisí s požadavky na shodu s HIPAA:

  • Pravidlo ochrany soukromí – upravuje používání a zveřejňování PHI držených zahrnutými subjekty
  • Bezpečnostní pravidlo – popisuje bezpečnostní kontroly, které jsou uspořádány do administrativních (bezpečnostní zásady a postupy, školení uživatelů a HR), fyzických (pokrývá všechny aspekty fyzických bezpečnostních opatření) a technických (pokrývá všechny aspekty kybernetické bezpečnosti) opatření.
  • Pravidlo oznamování porušení vyžaduje, aby zahrnuté subjekty informovaly pacienty, HHS a další klíčové zainteresované strany, když je jejich nezabezpečené PHI nepřípustně porušeno.
  • Omnibusové pravidlo – Důsledkem tohoto pravidla je, že zahrnuté subjekty jsou zodpovědné za jakékoli potenciální porušení obchodních partnerů a dodavatelů a musí podle toho přijmout vhodná opatření.

Práva pacienta: Pacienti mají podle pravidla ochrany soukromí HIPAA několik práv, včetně přístupu ke svým zdravotním záznamům a práva požadovat opravy.

Právo na přístup poskytuje jednotlivcům zákonné, vymahatelné právo na přístup a na vyžádání kopií informací v jejich zdravotních záznamech držených jejich poskytovateli zdravotní péče. Pacient má také právo měnit PHI tak dlouho, dokud je PHI v určené sadě záznamů.

Tresty za porušení HIPAA: Očekává se, že všechny subjekty související se zdravotní péčí, které shromažďují, uchovávají nebo sdílejí informace o zdravotním stavu pacientů, budou zcela v souladu se zákonem HIPAA. Nedodržení ustanovení zákona se vystavuje přísným sankcím. Nejběžnější typ porušení pochází z nedodržení pravidel ochrany osobních údajů, zabezpečení nebo oznamování narušení HIPAA.

Sankce za nedodržení se odvíjejí od míry nedbalosti. Mohou se pohybovat od 100 do 50 000 USD za porušení, s maximální pokutou 1,5 milionu USD ročně za porušení stejného ustanovení. Porušení může také vést k trestnímu obvinění, které může vést k uvěznění. Zde je seznam Významná porušení zákona HIPAA a pokuty v letech 2015–2021 a seznam těch v současné době ve vyšetřování .

Zákon Gramm–Leach–Bliley ( GLBA )

GLBA je federální zákon, který byl podepsán 12. listopadu 1999.Zákon vyžaduje, aby finanční instituce a další podniky, které nabízejí finanční služby a produkty, sdělily svým zákazníkům, jak chrání a sdílejí jejich soukromé informace, a právo zákazníka odmítnout jakékoli sdílení dat třetích stran.

Soulad s GLBA ukládá všem finančním institucím povinnost mít zásady na ochranu důvěrnosti a integrity informací zákazníků před jakýmikoli předvídatelnými hrozbami.

Povinnosti GLBA: Poskytovatelé finančních služeb jsou povinni poskytnout záruky na ochranu důvěrnosti, integrity a dostupnosti osobních údajů zákazníka tím, že budou dodržovat následující pravidla:

  • Pravidlo finančního soukromíTo vyžaduje, aby finanční instituce poskytly každému spotřebiteli oznámení o ochraně osobních údajů, jakmile bude navázán spotřebitelský vztah, a poté každý rok. Oznámení o ochraně osobních údajů musí vysvětlovat shromážděné informace o spotřebiteli, včetně toho, kde a jak jsou tyto informace používány, sdíleny a chráněny, a jeho práva odmítnout sdílení informací třetích stran.
  • Ochranné pravidloZáruky vyžadují, aby finanční instituce vypracovaly písemnou politiku zabezpečení informací, která popisuje, jak je společnost připravena a jak plánuje pokračovat v ochraně neveřejných osobních údajů klientů.
  • Ochrana před pretextingemGLBA zakazuje praktikování pretextingu – formy útok sociálního inženýrství k tomu dochází, když se někdo pokusí získat přístup k osobním, neveřejným informacím, aniž by k tomu měl patřičné oprávnění. Organizace spadající pod GLBA jsou povinny zavést ochranná opatření proti předstírané útoky

Tresty za porušení GLBA: Nedodržení GLBA přináší finanční instituci a její zaměstnance přísné sankce.

  • Finanční instituce může dostat pokutu až 100 000 USD za každé porušení a částku, která dosahuje až jednoho procenta aktiv společnosti.
  • Zaměstnanci mohou být také pokutováni jednotlivě až do výše 10 000 USD za každé porušení
  • Pokud nebudou dodržovat bezpečnostní zásady a postupy, mohou dostat pokutu 1 000 000 $ a 5–12 let vězení.

Zákon o ochraně soukromí dětí na internetu (COPPA)

POHÁR je federální zákon Spojených států přijatý 21. dubna 2000, který reguluje online shromažďování osobních údajů o dětech mladších 13 let.

Zákon chrání soukromí dětí tím, že vyžaduje souhlas rodičů se shromažďováním nebo používáním jakýchkoli osobních údajů dětí. Byl vytvořen s cílem zvýšit zapojení rodičů do online aktivit dětí v reakci na rostoucí povědomí o technikách internetového marketingu, které se zaměřovaly na děti a shromažďovaly jejich osobní údaje z webových stránek bez upozornění rodičů.

Zákon se vztahuje na komerční webové stránky a online služby (včetně mobilních aplikací), které jsou zaměřeny na děti, a také na zahraniční webové stránky, které jsou zaměřeny na děti z USA. Nevztahuje se na webové stránky pro širokou veřejnost, pokud nemají specifické služby, které na jejich stránky přitahují děti.

Povinnosti podle zákona COPPA: Webové stránky nebo mobilní aplikace zaměřené na děti jsou povinny dodržovat poctivé informační postupy při shromažďování a používání osobních údajů. The Revize národního práva obsahuje podrobný rozpis kroků, které musíte podniknout, abyste splnili povinnosti podle zákona COPPA:

  • Zveřejněte jasné a komplexní online zásady ochrany osobních údajů popisující jejich informační postupy pro PI shromážděné online od dětí mladších 13 let;
  • Vynaložit přiměřené úsilí (s přihlédnutím k dostupné technologii) k přímému upozornění rodičů na praktiky provozovatele týkající se shromažďování, používání nebo zpřístupňování PI od dětí mladších 13 let, včetně upozornění na jakoukoli podstatnou změnu takových metod, ke kterým rodiče dříve souhlasil;
  • Získejte ověřitelný souhlas rodičů, s omezenými výjimkami, před jakýmkoli sběrem, použitím a zveřejněním PI od dětí mladších 13 let;
  • Poskytnout rodičům přiměřené prostředky k tomu, aby přezkoumali PI získané od jejich dítěte a odmítli povolit jeho další použití nebo údržbu;
  • Zavést a udržovat přiměřené postupy na ochranu důvěrnosti, bezpečnosti a integrity PI shromážděných od dětí mladších 13 let, včetně přijetí přiměřených kroků ke zpřístupnění/vydání takového PI pouze stranám, které jsou schopny zachovat jejich důvěrnost a bezpečnost; a
  • Uchovávejte PI shromážděné online od dítěte pouze tak dlouho, jak je to nezbytné ke splnění účelu, pro který byly shromážděny, a vymažte informace pomocí přiměřených opatření na ochranu před jejich neoprávněným přístupem nebo použitím.
  • Provozovatelé mají zakázáno podmiňovat účast dítěte na online aktivitě tím, že dítě poskytne více informací, než je přiměřeně nutné k účasti na dané aktivitě.

Sankce za porušení zákona COPPA: FTC má pravomoc vymáhat dodržování zákona COPPA. Podle FTC mohou soudy uložit porušovatelům zákona COPPA až 42 530 USD v občanskoprávních sankcích za každé porušení. Výše občanskoprávních trestů, které soud posuzuje, závisí na několika faktorech, jako je závažnost trestných činů, předchozí záznam o porušení, počet zúčastněných dětí, množství a typ shromážděných PI a způsob jejich použití, velikost společnosti. .

FTC proti některým podala několik žalob společnosti poskytující online služby za nedodržení požadavků zákona COPPA, včetně žalob proti Google, TikTok, Lisa Franková , American Pop Corn Company a další. Google se v poslední době posunul odpovědnost za dodržování zákona COPPA tvůrci dětského obsahu YouTube . To znamená, že videa cílená na děti mladší 13 let již nemohou obsahovat behaviorálně cílené reklamy.

Zákon o spravedlivých a přesných úvěrových transakcích (FACTA)

HOTOVO je federální zákon podepsaný dne 4. prosince 2003 jako novela zákona o Fair Credit Reporting Act.

Primárně byl navržen tak, aby snížil počet případů krádeže identity a zlepšil bezpečnou likvidaci nebo zničení spotřebitelských informací. Zákon také umožňuje spotřebitelům požádat a získat bezplatnou zprávu o úvěru jednou za 12 měsíců od každé ze tří společností pro podávání zpráv o spotřebitelských úvěrech v USA – Equifax, Experian a TransUnion.

SPLNĚNÉ závazky: FACTA poskytuje pravidla pro poskytovatele finančních služeb, věřitele, agentury pro vykazování úvěrů a všechny podniky s „krytými účty“ k odhalování a ochraně spotřebitelů před podvody a krádeží identity. „Krytý účet“ zahrnuje jakýkoli účet, u kterého existuje předvídatelné riziko krádeže identity.

Jedním z takových pravidel je pravidlo Red Flags Rule – které vyžaduje, aby společnosti zavedly zásady a postupy proti krádeži identity, které by vyhodnotily rizikové faktory krádeže identity, otestovaly a zavedly tyto zásady k detekci a řešení identifikovaných rizik a školily zaměstnance, aby zajistili, že tyto zásady a postupy jsou správně dodržovány.

Kromě pravidla Red Flags stanovuje FACTA pravidla týkající se upozornění na podvody a upozornění na aktivní službu. Na žádost spotřebitele (který se domnívá, že se stane obětí podvodu nebo krádeže identity) zákon vyžaduje, aby spotřebitelské zpravodajské agentury umístily do svých záznamů upozornění na podvod, aby na jejich jméno nebyla otevřena žádná nová úvěrová linka bez výslovného potvrzení od vás. Aktivní výstraha vyžaduje, aby ohlašovací agentura zveřejnila takovou výstrahu s jakoukoli kreditní zprávou vydanou do 12 měsíců od žádosti.

Sankce za porušení FACTA: Na porušení FACTA se mohou vztahovat federální i státní sankce:

  • Pokuty FACTA federální vlády mohou být až 2 500 USD za porušení
  • Státní sankce FACTA mohou být až 1 000 USD za porušení
  • Podniky, které při tisku potvrzení o transakci nezkrátí čísla debetních/kreditních karet, mohou podléhat zaplacení zákonných škod v rozmezí od 100 do 1000 USD za porušení
  • Hromadné žaloby mohou být až 1 000 USD pro každého dotčeného spotřebitele

Státní zákony na ochranu osobních údajů

Viz také: Který stát nejlépe chrání soukromí na internetu?

Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA)

CCPA je státní statut pro obyvatele státu Kalifornie ve Spojených státech, který vstoupil v platnost 1. ledna 2020.

CCPA je navržen tak, aby dal obyvatelům Kalifornie kontrolu nad jejich daty. Je považována za nejkomplexnější zákon o ochraně osobních údajů v USA, podobně jako EU GDPR . Zákon se vztahuje na firmy v Kalifornii, které shromažďují údaje spotřebitelů, a lze je popsat některým nebo všemi následujícími způsoby:

  • Získává 50 % nebo více svých ročních příjmů z prodeje osobních údajů spotřebitelů
  • Kupuje nebo prodává osobní údaje 50 000 nebo více spotřebitelů, domácností nebo zařízení
  • Má roční hrubé příjmy nad 25 000 000 $

Práva spotřebitelů CCPA: Nařízení CCPA zmocňuje uživatele k novým datovým právům. Aby vaše organizace vyhověla nařízení, musí uživatelům umožnit výkon jejich práv CCPA. Pokud jste například obyvatelem Kalifornie, máte nyní právo:

  • Zažalujte firmu, pokud neimplementuje přiměřená bezpečnostní opatření a vaše data jsou ohrožena v důsledku úniku dat
  • Vědět, jaké osobní údaje se o vás shromažďují, a mít k nim přístup
  • Zjistěte, zda jsou vaše data prodávána nebo zpřístupněna a komu
  • Nebýt diskriminováni za uplatňování svých práv na soukromí
  • Požádejte firmu, aby vaše data smazala
  • Odhlaste se z prodeje vašich dat

Sankce za porušení zákona CCPA: Společnosti mají 30 dní na to, aby zákon splnily, jakmile je regulační orgány upozorní na porušení. Pokud problém nevyřeší v dané lhůtě, hrozí jim pokuta až 7 500 USD za záznam. Mezi další použitelné sankce patří:

  • Platba zákonných škod mezi 100 až 750 USD na obyvatele Kalifornie a incident, nebo skutečné škody, podle toho, která je vyšší, pokud dojde k ohrožení osobních údajů uživatelů při porušení ochrany údajů
  • Pokuta až 7 500 USD za každé úmyslné porušení a 2 500 USD za každé neúmyslné porušení
  • Odpovědnost se také může vztahovat na podniky v zámořských zemích, které zasílají položky do Kalifornie

Virginský zákon o ochraně spotřebitelských údajů (CDPA)

CDPA je státní statut pro obyvatele státu Virginie ve Spojených státech.

Stejně jako kalifornský zákon na ochranu soukromí spotřebitelů (CCPA) je i CDPA navržen tak, aby spotřebitelům ve Virginii poskytl větší kontrolu nad jejich daty. Díky tomu se Virginie stala teprve druhým státem, který přijal komplexní právní předpisy na ochranu soukromí.

Ačkoli zákon vstoupí v platnost 1. ledna 2023, očekává se, že podniky začnou vyhodnocovat své povinnosti, aby měly dostatek času na splnění. Společnost podléhá CDPA, pokud buď podniká ve Virginii, nebo vyrábí produkty či služby, které jsou zaměřeny na obyvatele Virginie a splňují jeden z následujících požadavků:

  1. v průběhu kalendářního roku kontrolovat nebo zpracovávat osobní údaje minimálně 100 000 spotřebitelů; nebo
  2. Kontrolovat nebo zpracovávat osobní údaje minimálně 25 000 spotřebitelů a získávat více než 50 procent hrubého příjmu z prodeje osobních údajů

Povinnosti CDPA: CDPA ukládá podnikům zpracovávajícím osobní údaje několik povinností. Mezi tyto povinnosti patří:

  • Omezení shromažďování a používání údajů: Podniky jsou povinny omezit shromažďování osobních údajů na „to, co je přiměřené, relevantní a přiměřeně nezbytné“ pro účel, pro který jsou údaje zpracovávány.
  • Omezení účelu: Firmy jsou povinny zpracovávat osobní údaje pouze pro účely přiměřeně nezbytné nebo kompatibilní s účely uvedenými v zásadách ochrany osobních údajů dané firmy.
  • Souhlas se zpracováním citlivých údajů: Firmy jsou povinny získat svolení spotřebitele před zpracováním jakýchkoli citlivých údajů
  • Přiměřené bezpečnostní kontroly: Podniky jsou povinny zavést a udržovat dobré administrativní, technické a fyzické postupy zabezpečení dat, aby chránily důvěrnost, integritu a dostupnost osobních údajů.
  • Posouzení ochrany údajů: Podniky jsou povinny provádět hodnocení ochrany údajů (DPA), aby vyhodnotily rizika spojená s konkrétními činnostmi zpracování údajů.

Práva na ochranu soukromí spotřebitelů : CDPA vyjmenovává následující práva na ochranu soukromí pro spotřebitele ve Virginii:

  1. Právo na přístup
  2. Právo na opravu
  3. Právo na výmaz
  4. Právo na přenositelnost údajů
  5. Právo vznést námitku proti zpracování údajů
  6. Právo na svobodu od diskriminace

Sankce za porušení CDPA: Společnosti mají 30 dní na to, aby zákon splnily, jakmile je regulační orgány upozorní na porušení. Pokud problém nevyřeší v dané lhůtě, hrozí jim pokuta až 7 500 USD za porušení.

Ostatní státní zákony

Mnoho dalších připravovaných státních zákonů o ochraně osobních údajů v současné době prochází legislativní kontrolou a schválením nebo čeká na schválení ze strany exekutivy. Níže uvedená tabulka shrnuje různé připravované a stávající státní zákony na ochranu osobních údajů.

KalifornieCalifornia Consumer Privacy AcTržby přes 25 milionů dolarůAnoAnoani náhodouV platnosti od 1. ledna 2020
VirginieZákon o ochraně spotřebitelských údajů ve VirginiiVšechnoAnoAnoAnoNabývá účinnosti 1. ledna 2023
New YorkNewyorský zákon o ochraně osobních údajůVšechnoAnoAnoAnočekající
MassachusettsZákon Massachusetts na ochranu osobních údajůPřes 10 milionů dolarůAnoAnoani náhodoučekající
MarylandMarylandský zákon o ochraně spotřebitele onlinePřes 25 milionů dolarůAnoAnoani náhodoučekající
HavajZákon o ochraně soukromí spotřebitelů na HavajiVšechnoAnoAnoani náhodoučekající

Tabulka 1.0 Porovnání současných a připravovaných státních zákonů na ochranu dat

Zákony o ochraně osobních údajů v USA - FAQ

Jaké jsou tři federální zákony na ochranu soukromí?

Existuje řada federálních zákonů, které se zabývají ochranou soukromí. Prvním z nich je zákon o ochraně osobních údajů, který pokrývá ochranu osobních údajů (PII), pokud jsou v držení federální agentury. Zákon Gramm-Leach-Bliley, lépe známý jako GLBA, se zabývá finančními institucemi a uvádí, že tyto organizace musí zákazníkům sdělovat, jak budou jejich data uchovávána a používána. GLBA také požaduje, aby spotřebitelé měli právo určit, že jejich údaje by neměly být sdíleny s třetími stranami. COPPA, zákon o ochraně soukromí dětí na internetu, specifikoval ochranu osobních údajů týkajících se dětí mladších 13 let.

Existuje v USA GDPR?

GDPR se zabývá ochranou osobních údajů, které se týkají občanů členských států EU. Americké podniky však nejsou osvobozeny od požadavků tohoto souboru pravidel. Pokud společnost v USA jedná se zákazníky v EU, vyvstávají otázky, kde a jak jsou data uložena a jak mohou být tato data použita, a tyto záležitosti se řídí GDPR.

Je Hipaa federálním zákonem?

HIPAA je zákon o přenositelnosti a odpovědnosti zdravotního pojištění, což je federální zákon, který byl přijat v roce 1996. Zákon specifikuje povinnosti podniků ve zdravotnickém sektoru týkající se způsobu nakládání s údaji pacientů. Tato kategorie dat je známá jako „osobní zdravotní informace“ neboli PHI. Zákon vyžaduje, aby držitelé údajů informovali subjekty, pokud jsou jejich údaje zveřejněny. Zákon rovněž umožňuje subjektům údajů právo vidět a opravit jakékoli informace o nich uchovávané. Ačkoli se HIPAA vztahuje pouze na údaje občanů USA, kteří jsou zapleteni s poskytovateli zdravotní péče v USA, služby zpracování údajů mimo USA by byly odpovědné podle zákona, pokud mají smlouvu o držení nebo správě údajů o pacientech zdravotní péče v USA.

^