Amerykańska ustawa o prywatności i ochronie danych: co marki muszą wiedzieć
Opublikowany: 2022-09-13Główna ustawa chroniąca prawa konsumentów do prywatności we wszystkich 50 stanach wyszła z komisji amerykańskiej Izby Reprezentantów, co oznacza, że po raz pierwszy tak daleko idący projekt ustawy został posunięty do przodu.
Amerykańska ustawa o ochronie danych i prywatności (ADPPA) ma przed sobą długą drogę, zanim stanie się prawem, ale marki powinny być świadome jej postanowień i ich potencjalnego wpływu na biznes.
Trendy w zakresie prywatności danych klientów: budowanie zaufania, postpandemia
Dowiedz się o trzech kluczowych trendach w zakresie danych o klientach w miarę odbicia firm po pandemii oraz o tym, dlaczego CDP jest tak ważny dla budowania zaufania.
Czym jest amerykańska ustawa o prywatności i ochronie danych?
ADPPA określa wymagania dotyczące sposobu, w jaki firmy i organizacje, w tym organizacje non-profit, powinny obchodzić się z danymi osobowymi, w tym informacjami, które identyfikują osobę lub można je w uzasadniony sposób powiązać z daną osobą.
Projekt ustawy wpłynąłby na większość podmiotów gromadzących dane. Dotyczy to również podmiotów, które przetwarzają tzw. „dane objęte zakresem” i podlegają ustawie o Federalnej Komisji Handlu (ustawa FTC). Każda firma lub organizacja non-profit, która gromadzi, przetwarza lub przekazuje dane, które można w rozsądny sposób powiązać z osobami fizycznymi, prawdopodobnie podlega przepisom prawa. Nie dotyczyłoby to podmiotów rządowych.
ADPPA ogranicza wykorzystanie danych osobowych w celach biznesowych. W dużej mierze zabrania organizacjom gromadzenia, przetwarzania lub przekazywania danych osobowych wykraczających poza to, co jest uzasadnione w celu świadczenia usługi żądanej przez daną osobę.
Projekt zawiera jednak 17 dopuszczalnych wyjątków, obejmujących takie działania, jak konieczność uwierzytelniania użytkowników i zapobieganie oszustwom.
Brokerzy danych mieliby więcej obowiązków w ramach ADPPA, w tym rejestrację w FTC, która ustanowiłaby i utrzymywałaby przeszukiwalny rejestr online zawierający nazwy tych podmiotów. Istniałby również rejestr „Nie zbieraj”, który umożliwiałby użytkownikom żądanie, aby brokerzy danych usunęli ich informacje w ciągu 30 dni.
Jaka jest przyszłość prywatności danych konsumentów?
Marki muszą znaleźć sposoby, aby wyprzedzić falę obowiązujących przepisów, nowych zasad i wymagań dotyczących zgodności. Obejmuje to te trzy ruchy:
Ochrona prywatności konsumentów i bezpieczeństwo danych
Zwolennicy prywatności od dawna starają się zapewnić konsumentom większą widoczność i kontrolę nad ich danymi osobowymi. Zgodnie z proponowaną amerykańską ustawą o ochronie i prywatności danych firmy muszą umożliwiać użytkownikom dostęp, poprawianie i usuwanie ich danych osobowych.
Firmy musiałyby dysponować mechanizmami reagowania na wszystkie żądania użytkowników, aby zobaczyć i dostosować wszelkie organizacje danych na ich temat.
Dzięki ADPPA prawodawcy dążą do zmniejszenia liczby naruszeń danych poprzez wprowadzenie obowiązku bezpieczeństwa danych. Tylko w pierwszej połowie tego roku doszło do prawie 2000 naruszeń bezpieczeństwa danych, z których wiele dotyczyło informacji umożliwiających identyfikację osób.
Firmy, które nie są w stanie wykazać, że zrobiły wszystko, co w ich mocy, aby chronić dane klientów, mogą w końcu zostać ukarane wysokimi grzywnami i karami, chociaż egzekwowanie przepisów nie zostało jeszcze całkowicie wypracowane (ustawa zawiera klauzulę mówiącą, że FTC będzie musiała utworzyć biuro ochrony prywatności aby sobie z tym poradzić).
Firmy zatrudniające więcej niż 15 pracowników musiałyby również mieć inspektora ochrony prywatności i inspektora bezpieczeństwa danych.
Zgodność danych: ostateczny przewodnik po wyrażaniu zgody, prywatności i najlepszych praktykach
Zgodność danych obejmuje standardy i przepisy obowiązujące w celu zapewnienia bezpieczeństwa danych, ochrony przed ich kradzieżą, niewłaściwym wykorzystaniem i utratą. Oto elementarz, jak zacząć.
Dodatkowe postanowienia ADPPA
Zgodnie z projektem ustawa o ochronie danych wymagałaby od przedsiębiorstw przejrzystości w tym, co robią z danymi konsumentów i jak je chronią. Musieliby publicznie ujawnić swoją politykę prywatności „w sposób jasny, rzucający się w oczy, nie wprowadzający w błąd i łatwo dostępny.
Polityki musiałyby szczegółowo określać rodzaje danych gromadzonych przez organizację, a także sposób i czas ich gromadzenia, przetwarzania i przesyłania.
ADPPA ogranicza lub zakazuje wielu form reklamy ukierunkowanej, szczególnie skierowanej do nieletnich . Niektórzy twierdzą, że nałożyłoby to najsurowsze takie ograniczenia w Stanach Zjednoczonych i być może na świecie.
Przedsiębiorstwa musiałyby być bardzo ostrożne, aby uniknąć wywierania presji na nieletnich w celu ujawnienia jakichkolwiek niepotrzebnych danych osobowych lub skierowania działań marketingowych lub reklamowych bezpośrednio do nich.
Konsumenci mogą pozwać firmy za domniemane naruszenia prywatności. Począwszy od dwóch lat po uchwaleniu ADPPA, użytkownicy mogą dochodzić roszczeń, takich jak nakaz sądowy, odszkodowanie odszkodowawcze i rozsądne honoraria adwokackie, jeśli uważają, że organizacja niewłaściwie obchodziła się z ich prywatnymi danymi.
RODO nakłada grzywny w zawrotnym tempie, ponieważ organy regulacyjne rozprawiają się z naruszeniami prywatności
Kary wynikające z RODO wzrosły w trzecim kwartale, podkreślając rosnące ryzyko, przed którym stoją przedsiębiorstwa, gdy europejscy regulatorzy analizują praktyki dotyczące prywatności danych.
Federalna ustawa o ochronie danych: nie ma pewności
Pomimo ponadpartyjnej chęci zrobienia czegoś w sprawie prywatności danych i poparcia konsumentów dla zapisów ustawy, nadal istnieją znaczne przeszkody na drodze do wejścia w życie ustawy.
Na przykład prawodawcy ze stanów z istniejącymi zasadami prywatności, w tym Connecticut, Kolorado, Utah, Vermont i Kalifornii, wyrazili obawy, że ADPPA może przebić zabezpieczenia, które już wprowadziły dla swoich obywateli. Ustawodawcy w Kalifornii w szczególności martwią się, że podważy to przełomową ustawę California Consumer Privacy Act (CCPA) z 2018 r., a także inną inicjatywę, która wejdzie w życie w przyszłym roku.
Po przeszukaniu firm internetowych, kalifornijski prokurator generalny Rob Bonta ogłosił w sierpniu ugodę z Sephorą o wartości 1,2 miliona USD za rzekome nie poinformowanie konsumentów, że sprzedaje ich dane, za nierozpatrzenie wniosków użytkowników o rezygnację z takich praktyk oraz za niewystarczająco szybko zająć się jej naruszeniami. Inni sprzedawcy otrzymali powiadomienia, że muszą naprawić swoje naruszenia CCPA.
Podczas gdy poprawka do ADPPA próbuje uspokoić kalifornijskich prawodawców językiem wyraźnie wskazującym, że CCPA nadal obowiązuje, niektórzy nadal uważają, że prawo stanowe jest zagrożone i sprzeciwiają się ustawodawstwu federalnemu.
Co to jest CPRA? Kalifornijska ustawa o prawach do prywatności: podstawy i przegląd
Ponieważ CPRA i sieć zorientowana na prywatność wciąż zyskują na popularności, organizacje muszą się dostosować. Klienci domagają się przejrzystości w zakresie gromadzenia i wykorzystywania ich danych osobowych. Planowanie teraz pozwala zaoszczędzić kary i bóle głowy w przyszłości.
Nic dziwnego, że brokerzy danych sprzeciwiają się temu, a Izba Handlowa USA nazwała to „niewykonalnym”.
Niezależnie od tych bitew, na Kapitolu panuje optymizm, ADPPA znajdzie wystarczające poparcie dla przejścia. Po intensywnych negocjacjach projekt wyszedł stosunkowo bez szwanku przez Komisję ds. Energii i Handlu Izby Reprezentantów. Jednak w związku z wyborami śródokresowymi nadchodzącymi w listopadzie, możliwe, że ustawodawcy woleliby, aby następny Kongres decydował o przyszłości ADPPA.
Nawet jeśli nie zostanie ratyfikowana, rozmach stojący za ADPPA sugeruje, że będzie istniała federalna ustawa o ochronie danych, a firmy powinny być gotowe i zdolne do reagowania.