Safetica Blogs

Globální předpisy o ochraně dat a hlavní trendy (aktualizováno pro 2024/25)

Written by Sample HubSpot User | 15.11.2024 7:00:00

Zákony o ochraně dat se rychle mění. S příchodem nových předpisů po celém světě musí firmy mít přehled o požadavcích, aby chránily svá data, vyhnuly se sankcím a budovaly důvěru zákazníků.

Jen v letech 2023 a 2024 jsme zaznamenali řadu významných nových zákonů a aktualizací, které ovlivňují zacházení s daty a standardy soukromí. Některé z těchto předpisů nabudou účinnosti až v roce 2025, což dává organizacím čas se připravit – ale čím dříve začnete, tím lépe.


Obsah

  1. Předpisy o ochraně dat v USA
    1.1 California Privacy Rights Act (CPRA)
    1.2 Virginia Consumer Data Protection Act (VCDPA)
    1.3 Texas Data Privacy and Security Act (TDPSA)
  2. Další předpisy o ochraně dat v USA v letech 2023/2024
  3. Nové globální předpisy o ochraně dat v letech 2023/2024
    3.1 EU Artificial Intelligence Act (AI Act)
    3.2 EU Digital Operational Resilience Act (DORA)
    3.3 European Data Act
    3.4 Švýcarsko: Federal Act on Data Protection (FADP)
    3.5 Izrael: Významné změny v zákoně o ochraně soukromí (PPL)
    3.6 Saúdská Arábie: Personal Data Protection Law
  4. Osvědčené postupy pro udržení souladu s vyvíjejícími se předpisy o ochraně dat
  5. Jak Safetica může posílit vaše úsilí o regulatorní soulad

Tento článek je vaším rychlým průvodcem nejnovějšími globálními předpisy o ochraně dat – přináší zásadní informace o nových pravidlech a klíčových aktualizacích z celého světa. Tento zdroj budeme pravidelně aktualizovat, takže si zde můžete kdykoli ověřit, že je vaše organizace připravena na to, co v oblasti bezpečnosti dat přichází.

 


Poznámka k datům:
U zákonů o ochraně dat se často setkáváte jak s datem přijetí (enacted date), tak s datem účinnosti (effective date). Datum přijetí je okamžik, kdy je předpis oficiálně schválen a podepsán, zatímco datum účinnosti je okamžik, kdy se požadavky zákona oficiálně začnou uplatňovat – to znamená, že firmy by měly být do té doby v souladu.

V některých případech existuje i datum vymáhání (enforcement date), kdy úřady začínají zákon aktivně vymáhat a sankcionovat nedodržování. Datum účinnosti a datum vymáhání bývají obvykle stejná, ale občas existuje po datu účinnosti přechodné období, které firmám poskytuje další čas na přizpůsobení.

  • Datum přijetí: Kdy je předpis nebo zákon oficiálně schválen a podepsán řídícím orgánem.
  • Datum účinnosti: Kdy mají ustanovení zákona platit a vyžaduje se soulad s nimi.
  • Datum vymáhání: Kdy úřady zahajují vymáhací činnost, někdy po dodatečném přípravném období.

Předpisy o ochraně dat v USA

1.1 California Privacy Rights Act (CPRA)

  • Datum přijetí: 3. listopadu 2020
  • Datum účinnosti: 1. ledna 2023
  • Datum vymáhání: 1. července 2023
  • Vztahuje se na: Firmy působící v Kalifornii, jejichž roční hrubé příjmy přesahují 25 milionů USD, které ročně nakupují, prodávají nebo sdílejí osobní údaje 100 000 nebo více obyvatel či domácností Kalifornie, nebo z prodeje či sdílení osobních údajů obyvatel Kalifornie získávají 50 % a více ročních příjmů.
  • Hlavní zaměření: Posílená spotřebitelská práva k datům, minimalizace dat a omezení použití citlivých údajů

California Privacy Rights Act (CPRA) staví na předchozím státním předpisu CCPA a posiluje pravomoci spotřebitelů nad jejich daty. Vyžaduje, aby firmy zaváděly silnější postupy ochrany dat, a poskytuje jednotlivcům nová práva, jako je oprava nepřesných informací a omezení použití citlivých údajů.

Podle CPRA musí společnosti:

  • Aktualizovat zásady ochrany soukromí tak, aby reflektovaly rozšířená spotřebitelská práva.
  • Zavést principy minimalizace dat – omezit shromažďování a uchovávání dat na nezbytnou míru.
  • Zabezpečit „citlivá data“, jako jsou rodná čísla a geolokace, dodatečnou ochranou a poskytnout spotřebitelům možnosti omezit jejich použití.


1.2 Virginia Consumer Data Protection Act (VCDPA)

  • Datum přijetí: 2. března 2021
  • Datum účinnosti: 1. ledna 2023
  • Vztahuje se na: Firmy podnikající ve Virginii nebo zacílené na obyvatele Virginie, které ročně zpracovávají data minimálně 100 000 obyvatel, nebo zpracovávají data 25 000 obyvatel a získávají více než 50 % příjmů z prodeje dat.
  • Hlavní zaměření: Spotřebitelská práva k datům, posouzení ochrany dat a možnost odhlášení (opt-out) z cílené reklamy
  • Podrobnosti najdete v našem celém článku: Virginia Consumer Data Protection Act (VCDPA): Rozsah, účel a jak dosáhnout souladu

VCDPA poskytuje obyvatelům Virginie několik nových práv, podobných CPRA. Vyžaduje, aby firmy nabízely jednotlivcům právo na přístup, opravu, výmaz a odhlášení ze sběru dat, zejména pro účely cílené reklamy.

Mezi klíčové požadavky VCDPA patří:

  • Provádění posouzení ochrany dat u činností, jako je cílená reklama nebo zpracování citlivých údajů.
  • Zavedení systémů, které uživatelům umožňují uplatňovat svá práva, například odhlášení ze sběru dat pro marketingové účely.
  • Aktualizace zásad ochrany soukromí tak, aby pokrývaly tato nová spotřebitelská práva.

 

1.3 Texas Data Privacy and Security Act (TDPSA)

  • Datum přijetí: 18. června 2023
  • Datum účinnosti: 1. července 2024 (některá ustanovení 1. ledna 2025)
  • Vztahuje se na: Firmy podnikající v Texasu nebo nabízející produkty či služby spotřebovávané obyvateli Texasu, s výjimkou subjektů klasifikovaných jako „malé podniky“ podle U.S. Small Business Administration.
  • Hlavní zaměření: Datová transparentnost, spotřebitelská práva a bezpečnostní opatření pro citlivá data

Texas Data Privacy and Security Act (TDPSA) je dalším důležitým předpisem ovlivňujícím firmy napříč USA. Klade důraz na transparentnost a vyžaduje, aby firmy informovaly spotřebitele o svých postupech sběru a zpracování dat. TDPSA také ukládá specifické povinnosti při ochraně citlivých údajů.

Mezi hlavní rysy TDPSA patří:

  • Požadavek na jasné a dostupné zásady ochrany soukromí, které vysvětlují, jaká data se shromažďují, proč se shromažďují a jak jsou používána.
  • Povinná bezpečnostní opatření, zejména pro citlivé osobní údaje.
  • Důraz na poskytnutí kontroly nad daty spotřebitelům, včetně práva na přístup, opravu a výmaz osobních údajů.


Další předpisy o ochraně dat v USA v letech 2023/2024

Následující státní předpisy nabyly v USA účinnosti v letech 2023 a 2024 a doplnily nové standardy v oblasti ochrany dat a spotřebitelských práv. Níže je rychlý přehled jednotlivých předpisů, řazený abecedně pro snadnou orientaci, včetně důležitých dat, na která je třeba pamatovat.


Connecticut Data Privacy Act (CTDPA)

 

Colorado Privacy Act (CPA)

 

Delaware Personal Data Privacy Act (DPDPA)

  • Datum přijetí: 11. září 2023
  • Datum účinnosti: 1. ledna 2025

 

Indiana Consumer Data Protection Act (INCDPA)

  • Datum přijetí: 1. května 2023
  • Datum účinnosti: 1. ledna 2026


Iowa Consumer Data Protection Act (ICDPA)

  • Datum přijetí: 29. března 2023
  • Datum účinnosti: 1. ledna 2025


Kentucky Consumer Data Protection Act (KCDPA)

  • Datum přijetí: 28. června 2023
  • Datum účinnosti: 1. ledna 2025


Maryland Online Data Privacy Act (MODPA)

  • Datum přijetí: 19. května 2023
  • Datum účinnosti: 1. ledna 2025


Minnesota Consumer Data Privacy Act (MCDPA)

  • Datum přijetí: 15. července 2023
  • Datum účinnosti: 1. července 2025


Montana Consumer Data Privacy Act (MTCDPA)

  • Datum přijetí: 19. května 2023
  • Datum účinnosti: 1. října 2024


New Hampshire Privacy Act (NHPA)

  • Datum přijetí: 30. června 2023
  • Datum účinnosti: 1. ledna 2025


New Jersey Data Privacy Act (NJDPA)

  • Datum přijetí: 8. srpna 2023
  • Datum účinnosti: 1. února 2025


Oregon Consumer Privacy Act (OCPA)

  • Datum přijetí: 27. července 2023
  • Datum účinnosti: 1. července 2024


Rhode Island Data Transparency and Privacy Protection Act (RIDTPPA)

  • Datum přijetí: 15. září 2023
  • Datum účinnosti: 1. ledna 2025


Tennessee Information Protection Act (TIPA)

  • Datum přijetí: 11. května 2023
  • Datum účinnosti: 1. července 2024


Utah Consumer Privacy Act (UCPA)


Nové globální předpisy o ochraně dat v letech 2023/2024

3.1 EU Artificial Intelligence Act (AI Act)

  • Datum přijetí: 12. července 2024
  • Datum účinnosti: 1. srpna 2024
  • Některá ustanovení, jako jsou zákazy specifických AI systémů, platí od 2. února 2025.
  • Další pravidla, včetně těch pro vysoce rizikové AI systémy, se začnou uplatňovat od 2. srpna 2025.
  • Zbývající ustanovení mají platit od 2. srpna 2026.
  • Vztahuje se na: Subjekty vyvíjející, nasazující nebo používající AI systémy v EU, a společnosti mimo EU nabízející AI systémy zákazníkům v EU.
  • Hlavní zaměření: Zajištění bezpečnosti AI, transparentnosti a souladu s hodnotami EU pomocí přístupu založeného na riziku, který klasifikuje a reguluje AI systémy.
  • Podrobnosti najdete v našem celém článku: EU AI Act: Rozsah, účel a jak dosáhnout souladu

EU AI Act vytváří komplexní regulační rámec pro umělou inteligenci v rámci Evropské unie, jehož cílem je zajistit, aby AI systémy byly bezpečné, transparentní a respektovaly základní práva. Zavádí přístup založený na riziku – kategorizuje AI systémy do různých úrovní rizika a ukládá odpovídající povinnosti.

Hlavní body souladu:

  • Klasifikujte AI systémy do kategorií rizika – nepřijatelné, vysoké, omezené a minimální – podle jejich potenciálního dopadu.
  • Zajistěte, aby uživatelé byli informováni, když interagují s AI systémy, zejména s vysoce rizikovými aplikacemi.
  • Implementujte mechanismy lidského dohledu a odpovědnosti u vysoce rizikových AI systémů.
  • Provádějte pravidelné audity a potvrzujte tak soulad s normami EU.


3.2 EU Digital Operational Resilience Act (DORA)

  • Datum přijetí: 16. prosince 2022
  • Datum účinnosti: 16. ledna 2025
  • Datum vymáhání: 17. ledna 2025
  • Vztahuje se na: Finanční instituce v EU, včetně bank, pojišťoven, investičních firem a poskytovatelů ICT služeb
  • Hlavní zaměření: Posílení kybernetické bezpečnosti a provozní odolnosti ve finančním sektoru, zajištění kontinuity a ochrany před kybernetickými hrozbami.
  • Podrobnosti najdete v našem celém článku: DORA: Rozsah, účel a jak dosáhnout souladu

DORA má za cíl posílit digitální provozní odolnost finančního sektoru proti kybernetickým hrozbám a dalším provozním narušením. Zavádí komplexní rámec digitální provozní odolnosti pro finanční subjekty v EU.

Hlavní body souladu:

  • Implementujte robustní rámec řízení ICT rizik k řešení potenciálních zranitelností.
  • Stanovte postupy pro hlášení významných ICT incidentů regulačním orgánům.
  • Provádějte pravidelné testování strategií provozní odolnosti, včetně penetračních testů a dalších bezpečnostních hodnocení.
  • Zajistěte důkladné prověřování a sledování poskytovatelů ICT služeb třetích stran, abyste minimalizovali externí rizika.


3.3 European Data Act

  • Datum přijetí: 11. ledna 2024
  • Datum účinnosti: 12. září 2025
  • Vztahuje se na: Organizace nakládající s neosobními daty generovanými v EU, včetně výrobců IoT, poskytovatelů datových služeb a společností cloud computingu
  • Hlavní zaměření: Podpora dostupnosti a sdílení dat při zamezení vendor lock-inu, umožnění férové a konkurenceschopné datové ekonomiky v EU.
  • Podrobnosti najdete v našem celém článku: European Data Act: Rozsah, účel a jak dosáhnout souladu

European Data Act má za cíl zpřístupnit více dat pro využití v ekonomice a společnosti a zároveň udržet kontrolu v rukou společností a jednotlivců, kteří data generují. Reaguje na potřebu využít obrovské zásoby nevyužitých průmyslových dat a vytvořit příležitosti pro inovace a růst.

Hlavní body souladu:

  • Implementujte mechanismy, které zákazníkům umožní přistupovat ke svým neosobním datům a sdílet je napříč různými poskytovateli služeb.
  • Navrhněte systémy, které zákazníkům usnadní přechod mezi poskytovateli služeb bez datových omezení.
  • Dodržujte standardy zajišťující interoperabilitu mezi datovými platformami a službami v rámci EU.


3.4 Švýcarsko: Federal Act on Data Protection (FADP)

  • Datum přijetí: 25. září 2020
  • Datum účinnosti: 1. září 2023
  • Vztahuje se na: Švýcarské firmy a všechny mezinárodní subjekty zpracovávající data švýcarských obyvatel
  • Hlavní zaměření: Posílená práva jednotlivců, datová transparentnost a vyšší odpovědnost
  • Podrobnosti najdete v našem celém článku: Švýcarský FADP: Rozsah, účel a jak dosáhnout souladu

Revidovaný švýcarský Federal Act on Data Protection (FADP) je v souladu se standardy EU GDPR a zaměřuje se na transparentnost a práva subjektů údajů. FADP poskytuje švýcarským obyvatelům větší kontrolu nad jejich daty, včetně práva na přístup, opravu a výmaz osobních údajů. Také ukládá povinnost jasně komunikovat, jak jsou osobní údaje používány.

Klíčové body souladu pro firmy:

  • Zajistěte transparentnost při zpracování dat a poskytujte jednotlivcům informace o tom, jak jsou jejich data používána.
  • Implementujte bezpečnostní opatření na ochranu citlivých dat a převezměte odpovědnost za případné datové úniky.
  • Veďte záznamy o zpracovatelských činnostech a provádějte pravidelná hodnocení rizik.


3.5 Izrael: Významné změny v zákoně o ochraně soukromí (PPL)

  • Datum přijetí: 5. srpna 2024
  • Datum účinnosti: srpen 2025
  • Vztahuje se na: Všechny organizace zpracovávající osobní údaje v Izraeli, včetně mezinárodních společností nakládajících s daty izraelských obyvatel

Dne 5. srpna 2024 přijal izraelský Knesset 13. dodatek k zákonu o ochraně soukromí, čímž došlo k zásadní revizi rámce ochrany dat v zemi. Tento dodatek zavádí komplexní změny zaměřené na sladění izraelských předpisů o ochraně soukromí s globálními standardy, zejména s GDPR EU.

Hlavní body dodatku:

  • Rozšířené definice: Dodatek rozšiřuje rozsah pojmu „osobní údaje“ tak, aby zahrnoval širší škálu informací, včetně biometrických a genetických údajů.
  • Práva subjektů údajů: Jednotlivci získávají rozšířená práva, jako je možnost přistupovat ke svým osobním údajům, opravovat je a mazat.
  • Povinní pověřenci pro ochranu osobních údajů (DPO): Některé organizace jsou nově povinny jmenovat DPO, který bude dohlížet na soulad a zajišťovat dodržování povinností v oblasti ochrany dat.
  • Posílené pravomoci pro vymáhání: Privacy Protection Authority (PPA) získává širší pravomoci pro vymáhání, včetně možnosti ukládat administrativní pokuty za nedodržování.


3.6 Saúdská Arábie: Personal Data Protection Law

  • Datum přijetí: září 2021
  • Datum účinnosti: 14. září 2023
  • Vztahuje se na: Všechny subjekty zpracovávající osobní údaje v Saúdské Arábii a také subjekty mimo království, které zpracovávají osobní údaje týkající se jednotlivců s pobytem v Saúdské Arábii
  • Hlavní zaměření: Práva subjektů údajů, lokalizace dat a přísné sankce za nedodržení

Saúdskoarabský Personal Data Protection Law zavádí přísné kontroly nakládání s daty a vyžaduje, aby osobní údaje zůstaly v zemi, není-li udělen výslovný souhlas k mezinárodnímu přenosu. Zákon poskytuje jednotlivcům právo na přístup, opravu a výmaz osobních údajů a ukládá významné pokuty za neoprávněné zveřejnění nebo nedodržení.

Hlavní body souladu:

  • Uchovávejte osobní údaje v rámci hranic Saúdské Arábie, pokud nezískáte zvláštní povolení k přeshraničním přenosům.
  • Stanovte postupy pro vyřizování práv subjektů údajů, včetně přístupu, opravy a výmazu dat.
  • Implementujte robustní bezpečnostní opatření na ochranu citlivých dat a vyhýbejte se sankcím.


Osvědčené postupy pro udržení souladu s vyvíjejícími se předpisy o ochraně dat

Vzhledem k rychlým změnám v zákonech o ochraně dat po celém světě potřebují firmy proaktivní přístup k zajištění souladu. Zde je několik osvědčených postupů, jak udržet vaše DLP politiky aktuální:

  • Sestavte tým pro soulad
    Sestavte specializovaný tým odpovědný za sledování regulatorních změn, revizi interních politik a koordinaci celofiremních aktivit zaměřených na soulad. Tento tým může mít přehled o aktualizacích a provádět nezbytné úpravy s tím, jak vstupují v platnost nové předpisy.
  • Provádějte pravidelné audity
    Pravidelné audity hodnotí vaše stávající DLP politiky a praktiky. Pomáhají identifikovat mezery v souladu a poskytují jasný přehled, kde jsou potřeba aktualizace, což umožňuje včasné úpravy.
  • Aktualizujte politiky a školte zaměstnance
    Zajistěte, aby vaše DLP politiky byly pravidelně aktualizovány tak, aby odrážely nejnovější předpisy. Pořádejte školení, abyste vzdělávali zaměstnance v bezpečnosti dat a v nových požadavcích na soulad a posílili osvědčené postupy ochrany dat, zejména při práci s citlivými daty.
  • Využívejte technologie pro soulad
    Používejte pokročilé DLP nástroje a nástroje pro správu souladu k monitorování a ochraně citlivých informací. Automatizované nástroje pomáhají detekovat neoprávněný přístup, řídit datové toky a poskytovat upozornění na potenciální porušení, čímž snižují riziko nesouladu.

Podrobnější návod, jak vytvořit DLP politiku, najdete v našem článku Jak vytvořit DLP politiku ve vaší organizaci.

 


Jak Safetica může posílit vaše úsilí o regulatorní soulad

Safetica poskytuje komplexní řešení pro regulatorní soulad a nabízí nástroje, které podporují ochranu dat a soukromí napříč různými předpisy. Zde je přehled, jak Safetica může vaší organizaci pomoci splnit vyvíjející se požadavky na soulad:

  • Data discovery a klasifikace: Safetica umožňuje firmám identifikovat a klasifikovat citlivá data, čímž zajišťuje, že všechna regulovaná data jsou náležitě spravována a chráněna.
  • Průběžné sledování a auditování: Sledování v reálném čase a auditní stopy poskytují organizacím plnou viditelnost přístupu k datům a jejich využívání, což je zásadní pro prokázání souladu během auditů a hodnocení.
  • Behaviorální analytika a detekce anomálií: Díky pokročilé behaviorální analytice Safetica detekuje podezřelé aktivity a poskytuje včasná varování před potenciálními bezpečnostními úniky.
  • Bezpečnostní kontroly jako důkaz: Silné bezpečnostní kontroly Safetica a praktiky dokumentace slouží jako solidní důkaz souladu během regulatorních auditů a pomáhají firmám prokázat dodržování standardů ochrany dat.
View full post