Ad Law Access
Jako że obchodzimy Dzień Ochrony Danych Osobowych, dziś jest dobry moment, aby podsumować, gdzie znajduje się amerykańskie ustawodawstwo dotyczące prywatności w odniesieniu do wydarzeń z ostatnich kilku lat. W ciągu niespełna dwóch lat GDPR i CCPA stały się najbardziej kompleksowymi obowiązującymi przepisami dotyczącymi prywatności, przyznając osobom fizycznym szerokie prawa w zakresie ich informacji, tworząc liczne wymogi dotyczące odpowiedzialności i dając władzom prawo do nakładania potencjalnie ogromnych kar. (Więcej informacji na temat GDPR można znaleźć w naszych wpisach na blogu, między innymi tutaj i tutaj.)
KCPA wywołała debatę na temat tego, czy odrzuca ona, czy też utrzymuje „amerykańskie podejście” do prywatności. Niektórzy obserwatorzy potępili CCPA za odejście od „amerykańskiego podejścia” polegającego na „w dużej mierze bezprawnej innowacji z doraźną reakcją regulacyjną na konkretne szkody”. Inni krytykowali CCPA za ogólne zezwolenie na gromadzenie i wykorzystywanie danych osobowych, chyba że zabrania tego „konkretna reguła prawna”.
Ta debata prawdopodobnie nie zostanie rozstrzygnięta szybko lub ostatecznie, ale jest jasne, że na poziomie federalnym i stanowym, amerykańskie prawo dotyczące prywatności danych będzie się rozszerzać. Podczas gdy niektóre stany – w tym Waszyngton i Wirginia – rozważają kompleksowe projekty ustaw pod wpływem GDPR, stany nadal rozważają i dodają przepisy dotyczące konkretnych praktyk związanych z danymi, co może spowodować dalszą fragmentację amerykańskich przepisów dotyczących prywatności i dodatkowe wyzwania dla firm związane ze zgodnością z przepisami.
Jak firmy powinny radzić sobie z niepewną ścieżką, którą podążają przepisy dotyczące prywatności w USA? Całościowe, holistyczne spojrzenie na praktyki dotyczące danych stosowane przez organizację jest często kluczem do zachowania zgodności z obecnymi wymogami (takimi jak CCPA), a także prawdopodobnie skutecznym sposobem zarządzania rozbieżnymi przepisami stanowymi w miarę ich rozwoju.
W kierunku kompleksowych stanowych przepisów dotyczących prywatności
GDPR wywarło istotny wpływ na globalne przepisy dotyczące prywatności. Argentyna, Brazylia, Malezja i Urugwaj, między innymi, przyjęły przepisy dotyczące prywatności wzorowane na GDPR. Ustawa CCPA zawiera kilka elementów GDPR, takich jak prawo do dostępu i usunięcia danych, choć nadal istnieją między nimi istotne różnice. (Aby uzyskać bardziej szczegółowe spojrzenie na porównanie GDPR i CCPA, zobacz naszą tabelę porównawczą tutaj). Ponadto ustawodawcy stanu Waszyngton forsują obecnie ustawę Washington Privacy Act (SB 6281), nowy przepis regulujący prywatność danych i rozpoznawanie twarzy. Projekt ustawy wyraźnie odnosi się do GDPR, stwierdzając, że „Unia Europejska niedawno zaktualizowała swoje prawo dotyczące prywatności poprzez uchwalenie i wdrożenie ogólnego rozporządzenia o ochronie danych, zapewniając swoim mieszkańcom najsilniejszą ochronę prywatności na świecie. Mieszkańcy Waszyngtonu zasługują na taki sam poziom solidnych zabezpieczeń prywatności” (podkreślenie dodane). Wirginia również rozważa ustawodawstwo dotyczące prywatności, które dałoby konsumentom prawo dostępu do ich danych i ustalenia, czy zostały one sprzedane brokerowi danych (HB 473). Projekt ustawy z Wirginii generalnie odpowiadałby prawom konsumenta wynikającym z GDPR, w tym prawom do dostępu, poprawiania, usuwania danych oraz prawa do rezygnacji z dalszego przetwarzania danych.
Różnice: Przykład
Inne aspekty „amerykańskiego podejścia” do prywatności powstrzymują ruch w kierunku kompleksowych przepisów. W UE dane biometryczne podlegają GDPR jako „specjalna kategoria danych osobowych”, a firmom nie wolno przetwarzać tych danych, chyba że uzyskają na to wyraźną zgodę lub przetwarzanie spełnia inne rygorystyczne warunki legalnego przetwarzania, które obowiązują we wszystkich państwach członkowskich UE. Również w ramach GDPR każdy nieuprawniony dostęp do danych biometrycznych lub ich pozyskanie, które stanowi naruszenie danych, musi zostać zgłoszone odpowiednim organom w ciągu 72 godzin.
W Stanach Zjednoczonych prywatność danych biometrycznych jest (na razie) kwestią prawa stanowego, uzupełnioną o kilka nakazów wykonawczych dotyczących danych biometrycznych. Tylko trzy stany mają odpowiednie ustawy w tym zakresie – Illinois, Waszyngton i Teksas – a zakres i wymagania wynikające z tych ustaw znacznie się różnią. Na przykład, informacje biometryczne mogą powodować obowiązek powiadamiania o naruszeniu ochrony danych, jeśli zostaną narażone na szwank, ale to, czy obowiązek ten zostanie spełniony, będzie się różnić w zależności od stanu. Istotne różnice dotyczą również możliwości egzekwowania prawa – ustawa biometryczna stanu Illinois posiada prywatne prawo do wniesienia powództwa, podczas gdy ustawy z Teksasu i Waszyngtonu nie posiadają takiego prawa. Ponadto, ustawy takie jak HIPAA i Title VII mogą zapewnić dodatkową ochronę w niektórych sytuacjach.
Poza Stanami Zjednoczonymi i Unią Europejską, kraje podążają za przykładem Europy. Bardzo niewiele krajów posiada specjalne przepisy regulujące kwestie związane z danymi biometrycznymi, a zamiast tego włączają te dane do prawa krajowego, które często zawiera wymogi dotyczące świadomej zgody i praw osób, których dane dotyczą. Pozostają pytania o to, na ile takie podejście zapewnia ochronę danych biometrycznych, jednak bardzo niewiele krajów zajmuje się tymi kwestiami za pomocą przepisów mających zastosowanie do sektorów lub terytoriów.
Konsekwencje: A Conversation
Podczas gdy podejście UE do prywatności wydaje się wygrywać globalnie, amerykańscy decydenci nie ignorują bardziej ukierunkowanych wymagań, które dotyczą konkretnych praktyk związanych z danymi. Jednakże, takie fragmentaryczne podejście może również powodować zamieszanie, złożoność i koszty. Na przykład, wymóg CCPA „Nie sprzedawaj moich danych osobowych” mógłby szybko stać się niepraktyczny, gdyby poszczególne stany przyjęły różne definicje „sprzedaży” danych osobowych.
Członkowie Kongresu, którzy rozważają federalną ustawę o prywatności, mają szansę zdecydować, ile z podejścia amerykańskiego, a ile z podejścia unijnego, umieścić w jakiejkolwiek kompleksowej ustawie federalnej chroniącej dane osobowe, jak również czy uwzględnić wyłączenie i prywatne prawo do wniesienia powództwa. Będziemy uważnie obserwować ich decyzje.
Na koniec, to dopiero początek dla przepisów o prywatności danych. Prawa konsumentów do danych, wymagania dotyczące zarządzania i odpowiedzialności oraz struktury regulacyjne z pewnością będą ewoluować i prawdopodobnie się rozszerzać. Dla firm próbujących wprowadzić do swoich programów ochrony prywatności pewne zabezpieczenia na przyszłość, poświęcenie czasu na zrozumienie swoich praktyk związanych z danymi, rodzajów danych osobowych, które gromadzą i przechowują, gdzie się znajdują, dlaczego i jak długo ich potrzebują, oraz czy dane osobowe są wystarczająco chronione przed kompromitacją, umożliwi więcej opcji dla strategii biznesowych, jak również bardziej efektywne zarządzanie ryzykiem przedsiębiorstwa w odpowiedzi na zmieniający się krajobraz prawny.