Питання приватності: вивчення Закону Делавер про конфіденційність персональних даних

Почнемо разом щось абсолютно нове!

Нещодавно ми опублікували українською статтю «США: закони про конфіденційність – 2023», у якій ми розглянули, які закони, норми та правила регулюють сферу захисту даних у різних штатах Америки.

Сьогодні ми детальніше розглянемо штат Делавер. У цьому штаті розпочалася нова ера захисту даних, оскільки губернатор Джон Карні підписав закон Делаверського закону про конфіденційність персональних даних («DPDPA»). Цей крок офіційно робить Делавер 13-м штатом США, який ухвалив комплексне законодавство про конфіденційність споживачів.

Чи поширюється на мій бізнес державний закон про конфіденційність? Які обов’язки новий закон покладає на мене як на контролера даних? Які права надаються споживачам? Що закон говорить про заходи захисту даних, згоду на обробку даних та оцінку захисту даних? І, головне, які кроки я повинен зробити, щоб діяти в рамках нового закону?

Відповіді на ці та інші питання ви знайдете в цій статті.

‍Основні моменти для розмови:

Чи поширюється DPDPA на ваш бізнес?

Цей закон стосується компаній, що працюють у штаті Делавер, або тих, які націлені на продукти чи послуги для його жителів. Якщо протягом останнього року ваш бізнес обробляв персональні дані щонайменше 35 000 споживачів або 10 000 споживачів із понад 20% доходу від продажу персональних даних, цей закон поширюється на вас.

DPDPA Права споживачів і запити

DPDPA надає споживачам у штаті Делавер більше контролю над своїми особистими даними, узгоджуючи це із законами інших штатів. Фізичні особи мають право:

підтвердити, чи використовує бізнес їхні дані;
отримати доступ до своїх даних (якщо вони не є комерційною таємницею);
виправте там неточності;
видалити надані або отримані дані;
отримати копію своїх даних у портативному форматі;
відмовитися від обробки даних для реклами, продажів або профілювання;
вказати «налаштування веб-переглядача, розширення браузера або глобальне налаштування пристрою», щоб вказати відмову від певних типів обробки.

Подібно до інших законів, DPDPA забезпечує 45-денний час відповіді для бізнесу з можливим продовженням на 45 днів у складних випадках.

Обов’язки контролера відповідно до Закону штату Делавер про приватність

Обмеження збору. Контролери повинні збирати лише ті персональні дані, які є адекватними, актуальними та обґрунтовано необхідними для оприлюдненої мети.

Заходи захисту даних. Контролери зобов’язані встановити заходи безпеки для захисту персональних даних споживачів.

Антидискримінаційне положення. Обробка даних, яка може призвести до дискримінації, заборонена, і компанії не можуть дискримінувати осіб, які користуються своїми правами.

Згода на участь. Для конфіденційних даних або даних неповнолітніх контролери повинні отримати згоду на участь.

Вимога до повідомлення про конфіденційність. Контролери повинні надати споживачам повідомлення про конфіденційність, пояснюючи зібрані дані, їхню мету, спосіб їх використання та обміну, як використовувати права та варіанти відмови від продажу даних і цільової реклами.

Обов'язки процесора. Обробники повинні допомагати контролерам у виконанні їхніх зобов’язань і діяти згідно з договірною угодою, яка регулює процедури обробки даних.

Оцінка захисту даних. У разі контролю або обробки даних принаймні 100 000 споживачів закон передбачає обов’язкову оцінку захисту даних для діяльності, яка становить підвищений ризик заподіяння шкоди споживачам, зокрема:

Цільова реклама;
Продаж персональних даних;
Профілювання з ризиком несправедливого або оманливого ставлення, фінансової/фізичної/репутаційної шкоди, втручання в самотність або обробки конфіденційних даних.

Застосування DPDPA та покарання

Департамент юстиції штату Делавер відповідає за дотримання DPDPA, стежачи за тим, щоб підприємства дотримувалися правил. Якщо компанія порушує закон, вона отримує повідомлення за 60 днів, щоб виправити це. Якщо цього не зробити, компанії можуть отримати штрафи в розмірі до 10 000 доларів США за порушення, що є найвищим показником у США. Починаючи з 2026 року, пільгового періоду немає, і можуть бути накладені миттєві штрафи.

Що мають робити підприємства?

Оновити повідомлення про конфіденційність. Підприємства можуть підготуватися до Закону штату Делавер про конфіденційність персональних даних, переглянувши своє повідомлення про конфіденційність відповідно до вимог нового закону.

Перегляньте Політику щодо файлів cookie. Якщо ваша компанія використовує файли cookie та виконує будь-які дії з обробки, такі як цільова реклама, продаж особистих даних або створення профілю, оновіть свою політику щодо файлів cookie. Чітко опишіть ці дії клієнтам і запропонуйте простий механізм відмови.

Надайте політику запитів споживачів. Організації, на які поширюється дія, повинні пропонувати споживачам різні способи здійснення своїх прав на конфіденційність даних, наприклад, розміщувати банер зі згодою та включати Політику щодо запитів споживачів на своєму веб-сайті чи в додатку.

Проведення оцінок захисту даних. Якщо ваша організація обробляє дані понад 100 000 споживачів, заплануйте проведення оцінки захисту даних.

Перегляньте контракти зі сторонніми процесорами або контролерами. Переконайтеся, що будь-які контракти зі сторонніми процесорами або контролерами відповідають специфікаціям, викладеним у DPDPA.

Дотримання глобальних засобів контролю конфіденційності. Певні частини

закону вимагають, щоб веб-сайти охоплених організацій запроваджували універсальні механізми відмови. Також підготуйте свою платформу до виконання цих зобов’язань.

З 1 січня 2025 року закон запрацює. Це дає підприємствам додатковий рік для прийняття універсальних систем, як того вимагає закон. Тому ми тут, щоб допомогти вам відповідати вимогам DPDPA!