Przepisy o ochronie danych osobowych: What You Need to Know in 2020

Większość stron internetowych gromadzi informacje o swoich użytkownikach, przekazywane przez użytkowników lub zbierane automatycznie za pomocą plików cookie i innych technologii. Właściciele firm potrzebują informacji, aby dostarczać swoje produkty, reklamować swoje usługi, komunikować się z klientami i potencjalnymi klientami oraz poprawiać funkcjonalność swojej strony internetowej. Klienci i odwiedzający Twoją stronę są naturalnie zainteresowani tym, co dzieje się z ich danymi osobowymi – jak są przechowywane, kto ma do nich dostęp i jakie zabezpieczenia są stosowane w celu ochrony ich prywatności.

Prawie każdy kraj uchwalił jakiś rodzaj przepisów dotyczących prywatności danych, aby uregulować sposób gromadzenia informacji, sposób informowania osób, których dane dotyczą, oraz kontrolę, jaką osoba, której dane dotyczą, ma nad swoimi informacjami po ich przekazaniu. Nieprzestrzeganie obowiązujących przepisów o ochronie danych osobowych może prowadzić do kar pieniężnych, pozwów sądowych, a nawet zakazu korzystania z witryny w niektórych jurysdykcjach. Poruszanie się po tych prawach i przepisach może być zniechęcające, ale wszyscy operatorzy stron internetowych powinni być zaznajomieni z przepisami dotyczącymi prywatności danych, które mają wpływ na ich użytkowników. Niektóre z nich obejmują:

Prawa USA dotyczące prywatności danych

Nie ma jednego kompleksowego prawa federalnego, które reguluje prywatność danych w Stanach Zjednoczonych. Istnieje złożona mozaika przepisów sektorowych i specyficznych dla danego sektora, w tym przepisy dotyczące telekomunikacji, informacji zdrowotnych, informacji kredytowych, instytucji finansowych i marketingu.

Ustawa o Federalnej Komisji Handlu (15 USC § 41 i nast.) posiada szeroką jurysdykcję nad podmiotami komercyjnymi w ramach swoich uprawnień do zapobiegania nieuczciwym lub „wprowadzającym w błąd praktykom handlowym”. Chociaż FKH nie reguluje wyraźnie, jakie informacje powinny być zawarte w polityce ochrony prywatności witryny internetowej, wykorzystuje ona swoje uprawnienia do wydawania rozporządzeń, egzekwowania prawa ochrony prywatności i podejmowania działań w celu ochrony konsumentów. Na przykład, FKH może podjąć działania przeciwko organizacjom, które…

  • Nie wdrożyły i nie utrzymywały rozsądnych środków bezpieczeństwa danych.
  • Nie przestrzegały żadnych mających zastosowanie zasad samoregulacji branży organizacji.
  • Nie stosowały się do opublikowanej polityki ochrony prywatności.
  • Przekazywanie informacji osobistych w sposób nieujawniony w polityce prywatności.
  • Składanie niedokładnych oświadczeń (kłamliwych) dotyczących prywatności i bezpieczeństwa konsumentom i w polityce prywatności.
  • Niezapewnienie wystarczającego bezpieczeństwa danych osobowych.
  • Naruszanie praw konsumenta do prywatności danych poprzez zbieranie, przetwarzanie lub udostępnianie informacji o konsumencie stanowi naruszenie ram ochrony prywatności konsumenta FKH lub krajowych praw i przepisów dotyczących prywatności.
  • Wprowadzanie w błąd w praktykach reklamowych.

      Inne prawa federalne, które regulują zbieranie informacji online obejmują:

      • Ustawę o ochronie prywatności dzieci w Internecie (15 USC § 6501 i nast.), znaną również jako COPPA, która reguluje zbieranie informacji o nieletnich.
      • The Health Insurance Portability and Accounting Act (HIPAA – P.L.104-191), która reguluje gromadzenie informacji zdrowotnych.
      • Gramm Leach Bliley Act (15 USC § 6802 et seq.) regulujący zbieranie informacji osobowych przez banki i instytucje finansowe.
      • The Fair Credit Reporting Act (15 USC § 1681), który reguluje zbieranie i wykorzystywanie informacji kredytowych.

      Prawa państwowe dotyczące prywatności danych

      Oprócz praw i przepisów federalnych, USA posiada setki praw dotyczących prywatności i bezpieczeństwa danych w swoich stanach, terytoriach i miejscowościach. Obecnie 25 stanowych prokuratorów generalnych nadzoruje przepisy dotyczące prywatności danych, regulujące zbieranie, przechowywanie, zabezpieczanie, usuwanie i wykorzystywanie danych osobowych zebranych od mieszkańców, zwłaszcza w odniesieniu do powiadomień o naruszeniu danych i bezpieczeństwa numerów ubezpieczenia społecznego. Niektóre z nich odnoszą się tylko do podmiotów rządowych, niektóre do podmiotów prywatnych, a niektóre do obu.

      Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA)

      Najbardziej kompleksowe ustawodawstwo stanowe dotyczące prywatności danych do tej pory to Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA), podpisana 28 czerwca 2018 r., która weszła w życie 1 stycznia 2020 r. CCPA jest ustawodawstwem międzysektorowym, które wprowadza ważne definicje i szerokie indywidualne prawa konsumenckie oraz nakłada istotne obowiązki na podmioty lub osoby, które zbierają dane osobowe na temat lub od mieszkańca Kalifornii. Obowiązki te będą obejmować informowanie osób, których dane dotyczą, kiedy i w jaki sposób dane są gromadzone, oraz zapewnienie im możliwości dostępu do takich informacji, ich poprawiania i usuwania. Informacje te muszą być ujawnione w polityce prywatności wyświetlanej na stronie internetowej podmiotu, który gromadzi dane.

      Nowy Jork SHIELD Act

      W lipcu 2019 r., Nowy Jork uchwalił ustawę Stop Hacks and Improve Electronic Data Security (SHIELD) Act. Ustawa ta zmienia istniejące w Nowym Jorku prawo dotyczące powiadamiania o naruszeniu danych i tworzy więcej wymagań dotyczących bezpieczeństwa danych dla firm, które gromadzą informacje o mieszkańcach Nowego Jorku. Od marca 2020 r. prawo to jest w pełni egzekwowalne. Ustawa ta rozszerza zakres prywatności konsumentów i zapewnia lepszą ochronę mieszkańców Nowego Jorku przed naruszeniami danych osobowych.

      Inne stanowe ustawy o prywatności danych

      Kalifornia i Nowy Jork są pierwszymi stanami, które wprowadziły szerokie ustawodawstwo mające wpływ na cały kraj, ale wiele innych stanów USA również rozważa wprowadzenie ustaw o prywatności danych. Nie będą one wyglądały tak samo jak CCPA czy SHIELD Act, ale prawdopodobnie będą zawierały podobne wymagania dla specyficznych potrzeb danego stanu.

      Jak można sobie wyobrazić, ule stanowych i federalnych praw prywatności w USA są zbyt złożone, aby je w pełni podsumować. Jest mało prawdopodobne, abyśmy wkrótce zobaczyli nadrzędne prawo federalne (nawet jeśli poparcie dla niego rośnie). Dlatego też, jako organizacja zbierająca i przetwarzająca dane osobowe, niezbędna jest współpraca z usługodawcą takim jak Osano, aby zachować zgodność z przepisami w tym wymagającym środowisku.

      Międzynarodowe prawo ochrony danych osobowych: GDPR

      Najważniejszym aktem prawnym dotyczącym ochrony danych osobowych uchwalonym do tej pory jest Ogólne Rozporządzenie o Ochronie Danych Osobowych (GDPR). Reguluje ono gromadzenie, wykorzystanie, przekazywanie i bezpieczeństwo danych zebranych od mieszkańców każdego z 28 krajów członkowskich Unii Europejskiej. Prawo to dotyczy wszystkich mieszkańców UE, niezależnie od lokalizacji podmiotu, który gromadzi dane osobowe. Kary w wysokości do 20 milionów euro lub 4% całkowitego globalnego obrotu mogą być nałożone na organizacje, które nie przestrzegają GDPR. Niektóre ważne wymagania GDPR obejmują:

      Zgoda

      Osoby, których dane dotyczą, muszą mieć możliwość wyrażenia wyraźnej, jednoznacznej zgody przed rozpoczęciem gromadzenia danych osobowych. Dane osobowe obejmują informacje gromadzone za pomocą plików cookie. Niektóre informacje, które zazwyczaj nie są uważane za „dane osobowe” w Stanach Zjednoczonych, takie jak adres IP komputera użytkownika, są uważane za „dane osobowe” zgodnie z GDPR.

      Zawiadomienie o naruszeniu danych

      Organizacje są zobowiązane do powiadomienia organów nadzorczych i podmiotów danych w ciągu 72 godzin w przypadku naruszenia danych wpływającego na dane osobowe użytkowników w większości przypadków.

      Prawa podmiotów danych

      Podmioty danych (osoby, których dane są gromadzone i przetwarzane) mają pewne prawa dotyczące ich danych osobowych. Prawa te powinny być zakomunikowane podmiotom danych w jasnej, łatwo dostępnej polityce prywatności na stronie internetowej organizacji.

    1. Prawo do bycia poinformowanym. Podmioty danych muszą być informowane o gromadzeniu i wykorzystaniu ich danych osobowych w momencie ich uzyskania.
    2. Prawo do dostępu do swoich danych. Osoba, której dane dotyczą, może zażądać kopii swoich danych osobowych za pośrednictwem wniosku o udostępnienie danych. Administratorzy danych muszą wyjaśnić sposoby gromadzenia danych, co jest przetwarzane i z kim są one udostępniane.
    3. Prawo do sprostowania. Jeśli dane osoby, której dane dotyczą, są niedokładne lub niekompletne, mają prawo zwrócić się do Ciebie o ich poprawienie.
    4. Prawo do usunięcia danych. Podmioty danych mają prawo do żądania usunięcia danych osobowych związanych z nimi na określonych podstawach w ciągu 30 dni.
    5. Prawo do ograniczenia przetwarzania. Podmioty danych mają prawo do żądania ograniczenia lub usunięcia ich danych osobowych (choć nadal można je przechowywać).
    6. Prawo do przenoszenia danych. Podmioty danych mogą mieć swoje dane przeniesione z jednego systemu elektronicznego do innego w dowolnym momencie, bezpiecznie i bez zakłócenia jego użyteczności.
    7. Prawo do sprzeciwu. Osoby, których dane dotyczą, mogą sprzeciwić się temu, jak ich informacje są wykorzystywane do celów marketingowych, sprzedażowych lub niezwiązanych z usługami. Prawo do sprzeciwu nie ma zastosowania w przypadku, gdy wykonywane jest uprawnienie prawne lub urzędowe, zadanie jest wykonywane w interesie publicznym lub gdy organizacja musi przetwarzać dane w celu świadczenia usługi, na którą się zapisałeś.

    Importance of Privacy Policies in Data Privacy Laws

    Każda strona internetowa powinna posiadać politykę prywatności, która wyjaśnia swoim użytkownikom, jakie informacje są zbierane, jak są one wykorzystywane, jak mogą być udostępniane i jak są zabezpieczone. Aby być w pełni zgodnym z amerykańskim i europejskim prawem ochrony danych, wszystkie osoby, których dane dotyczą, powinny mieć możliwość wyrażenia zgody na zbieranie danych osobowych. Podczas gdy wiele informacji o użytkownikach jest podawanych dobrowolnie, gdy zapisują się oni do biuletynów, wypełniają formularze lub wysyłają zapytania pocztą elektroniczną, informacje zebrane od stron trzecich i poprzez użycie plików cookie powinny być również ujawnione, a użytkownicy powinni mieć możliwość wyrażenia zgody, zablokowania lub wyłączenia plików cookie.

    Uzupełnienie zgodności Twojej firmy z przepisami o ochronie danych osobowych

    Nawet jeśli Twoja firma ma siedzibę w jurysdykcji, która nie wprowadziła kompleksowego ustawodawstwa o ochronie danych osobowych, istotne jest, aby rozważyć, gdzie mogą przebywać Twoi potencjalni użytkownicy i jakie przepisy mają zastosowanie. Jeśli zamierzasz prowadzić działalność w Kalifornii, Nowym Jorku lub Unii Europejskiej, powinieneś znać wymagania CCPA, SHIELD Act i GDPR. W większości przypadków przestrzeganie tych standardów w stosunku do wszystkich klientów jest prostsze i tańsze niż stosowanie różnych zasad w zależności od lokalizacji.

    Ochrona danych staje się coraz ważniejsza i będzie miała wpływ na decyzje użytkowników dotyczące miejsca przeglądania stron internetowych i dokonywania zakupów. Coraz częściej reputacja firmy w zakresie odpowiedzialnego obchodzenia się z danymi osobowymi będzie atutem, który może prowadzić do zwiększenia ruchu na stronie internetowej, konwersji i pozytywnego wpływu na zyski.

    Jeśli jesteś gotowy, aby poważnie podejść do przepisów dotyczących prywatności danych, zarejestruj się w Osano. Osano to łatwa w użyciu platforma prywatności danych, która natychmiast czyni Twoją witrynę zgodną z CCPA, SHIELD Act, GDPR i innymi przepisami dotyczącymi prywatności. Osano to „zgodność w pudełku”, natychmiast pomagając Twojej witrynie w przestrzeganiu przepisów dotyczących prywatności danych. Uzyskaj zgodność już teraz.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *