Нещодавно наші партнери - Felik.Agency - в статті "Як українському бізнесу вивести продукт на ринок США: досвід експерта з digital-маркетингу", підкреслили той факт, що закони, норми та правила щодо цифрового маркетингу в різних штатах США відрізняються один від одного.
Продовжуючи тему, ми вирішили подивитися, що зараз відбувається у Штатах із законами про приватність, коли буде ухвалено Федеральний закон, і які закони регулюють сферу захисту даних у різних штатах Америки.
Одразу можна сказати, що сьогодні США досягли суттєвого прогресу в законах про приватність. Шість штатів ухвалили всеосяжні закони про захист даних (і, швидше за все, підуть ще як мінімум два), і п'ять з них набудуть чинності протягом 2023 року.
Одним із найбільш значних змін у законодавстві США про приватність є Каліфорнійський закон про права на приватність (CPRA), який набирає чинності з 1 липня 2023 року. CPRA вносить кілька важливих поправок до Каліфорнійського закону про приватність споживачів (CCPA), який був чинним з 1 липня 2020 року.
Серед інших змін CPRA вводить поняття «конфіденційної особистої інформації», яка включає дані про державні ідентифікаційні номери споживачів, облікові дані, расове походження, релігійні переконання, членство в профспілці, генетику, біометрію, стан здоров'я та багато іншого. Він також надає кілька нових прав для споживачів, таких як право виправляти неточну особисту інформацію та право обмежувати використання та розкриття приватної інформації.
"Право на відмову" CCPA тепер прямо дозволяє споживачам відмовитися від «крос-контекстної реклами», яка включає об'єднання особистої інформації з різних веб-сайтів або додатків для націлення реклами на людей.
Що найважливіше, CPRA наказує, що у Каліфорнії буде власний регулятор приватності, Каліфорнійське агентство захисту приватності (CPPA).
Слідом за Каліфорнією п'ять штатів США прийняли застосовне законодавство про приватність:
Ці закони змінюють концепцію приватності для підприємств, які працюють у США.
Вони вводять концепції захисту даних, більш знайомі організаціям, які дотримуються Загального регламенту ЄС із захисту даних (GDPR).
Швидше за все, найближчими роками набудуть чинності нові закони штатів про приватність, а аналогічні законопроекти в Теннессі та Індіані очікують на підпис губернаторів. Інші законопроекти, такі як ще не підписаний Вашингтонський закон про здоров'я та дані, також можуть мати значний вплив на приватність.
Нові закони штатів зазвичай застосовуються до всіх секторів, але є таки що застосовуються тільки до підприємств, що обробляють особисті дані не менше 100 000 споживачів, а також до дрібніших компаній, які отримують певну частку свого доходу від продажу особистих даних. Закон Юти також виключає будь-який бізнес, що приносить менше ніж 25 мільйонів доларів річного доходу. Але на відміну від GDPR, вони містять винятки для обробки даних, що підпадають під дію галузевих законів, наприклад, таких як Закон про переносимість та підзвітність медичного страхування (HIPAA) та Закон Гремма-Ліча-Блайлі (GLBA).
Кожен із нових законів штату США про приватність надає нові права споживачів, у тому числі:
Кожен закон також накладає нові права на обробку «приватних даних», причому закони Вірджинії, Колорадо та Коннектикуту надають згоду у стилі GDPR; а Айова та Юта вимагають, щоб контролери пропонували споживачам можливість відмови до збору.
Права споживачів, передбачені цими законами США, в деяких випадках відрізняються від «права суб'єкта даних» GDPR. Споживачі, незадоволені реакцією контролера, повинні скористатися внутрішнім процесом апеляції, перш ніж скаржитися Генеральному прокурору штату. Контролери повинні відповідати на запити споживачів протягом 45 днів (порівняно з одним місяцем у ЄС), але, як і у випадку з GDPR, підприємства не повинні стягувати плату, якщо запит не є «явно необґрунтованим, надмірним чи повторюваним».
Використовуючи формулювання GDPR, кожен із цих нових законів вимагає, щоб контролери виконували угоди зі своїми обробниками. Подібно до «контрактів з постачальниками послуг» у Каліфорнії, контролери відповідно до законів цих інших штатів повинні на договірній основі вимагати проведення аудитів, та не ділитися даними, отриманими від контролера (за деякими винятками), із субпідрядниками.
Нові закони про приватність Вірджинії та Коннектикуту вимагають, щоб контролери проводили «оцінку захисту даних» за певних обставин, у тому числі перед тим, як займатися цільовою рекламою, продавати особисті дані, обробляти приватні дані та виконувати інші ризиковані дії. Законопроекти про приватність, що знаходяться на розгляді в даний час у Теннессі та Індіані, містять аналогічну вимогу. Ці положення були явно натхненні оцінкою впливу на захист даних GDPR і вимагають від компаній збалансувати переваги, які можуть бути отримані в результаті обробки, з ризиками для споживачів та громадськості, беручи до уваги будь-які відповідні запобіжні заходи.
Не менш важливим для компаній, що працюють у США, є нещодавні дії Федеральної торгової комісії (FTC) відповідно до чинних законів.
У лютому FTC наклала цивільний штраф на 1,5 мільйона доларів на постачальника знижок на ліки GoodRx, та згідно з Правилом повідомлення про порушення здоров'я назавжди заборонила компанії ділитися медичною інформацією з рекламною метою.
У березні Федеральна торгова комісія також домовилася про виплату 7,8 млн доларів постачальнику віддаленої терапії BetterHelp відповідно до Закону про Федеральну торговельну комісію – закон про захист прав споживачів, який BetterHelp нібито порушив, пообіцявши не ділитися особистою інформацією, а потім зробивши це за допомогою пікселів та інших трекерів.
Широка інтерпретація FTC «особистої інформації» та «медичної інформації» у цих випадках — і її думка про те, що несанкціонований обмін даними з рекламодавцями може бути «порушенням даних», вказує на тенденцію до більш жорсткого забезпечення приватності в США.
Всеосяжний федеральний закон США про приватність міг би внести деяку ясність у цю мозаїку державних та галузевих законів про приватність.
Федеральний законопроект, Американський закон про захист приватності даних (ADPPA), було внесено до Палати Конгресу у червні минулого року. ADPPA буде застосовуватися до підприємств та некомерційних організацій у всіх секторах, незалежно від їх розміру.
Серед інших положень, ADPPA буде:
Можливо, ADPPA накладе на бізнес набагато суворіші вимоги, ніж нинішня частина законів штату про приватність. Законопроект не було ухвалено на торішній законодавчій сесії. Опозиція була зосереджена навколо здатності закону скасовувати закони штату про приватність та «приватне право на позов», яке дозволяло б окремим особам подавати до суду на компанії, які не дотримуються вимог.
Сьогодні можна сказати, що якщо федеральний закон не буде прийнятий (а, можливо, навіть якщо він буде прийнятий), підприємства продовжуватимуть боротися з різними місцевими та галузевими законами про приватність, прийнятими в багатьох штатах США. У будь-якому випадку, довга ера слабкого регулювання приватності в США, схоже, добігає кінця.
При написанні статті використано матеріали.
LinkedIn
Instagram
Facebook
Telegram
Звертайтесь до нас та отримуйте консультацію: business@avitar.legal
Віолетта Лосєва
,
Сергій Флорескул
,
