Safetica > Resources > Zákon o ochraně osobních údajů v Connecticutu: Co byste měli vědět

Zákon o ochraně osobních údajů v Connecticutu: Co byste měli vědět

Čvc 27, 2023

Ve Spojených státech neexistuje jediný komplexní federální zákon o ochraně osobních údajů, jako je GDPR v EU. Místo toho mají některé státy vlastní předpisy o ochraně osobních údajů s jedinečnými ustanoveními. Jedním z významných právních předpisů je zákon o ochraně osobních údajů státu Connecticut (CTDPA), který nabyl účinnosti 1. července 2023.

Podobně jako kalifornský zákon o ochraně osobních údajů spotřebitelů , virginský zákon o ochraně osobních údajů spotřebitelů (VCDPA) a coloradský zákon o ochraně osobních údajů (CPA) se CTDPA zaměřuje na ochranu osobních údajů spotřebitelů a poskytuje jim větší kontrolu nad tím, jak jsou shromažďovány, používány a sdíleny.

V tomto článku se blíže podíváme na zákon o ochraně osobních údajů v Connecticutu, prozkoumáme jeho účel, rozsah a to, co by vaše firma měla dělat, aby jej dodržovala.

Co je zákon CTDPA?

CTDPA je zákon, který spotřebitelům poskytuje kontrolu nad jejich osobními údaji, které shromažďují a zpracovávají podniky a organizace. Aby to umožnil, stanoví pro podniky a organizace v Connecticutu povinnosti a standardy ochrany soukromí (více o rozsahu níže).

These are the rights that are being granted to consumers under CTDPA:

  1. Access: Consumers have the right to confirm whether a business is processing their personal data and to access the specific personal data being processed.
  2. Correction: Consumers can request corrections to inaccuracies in their collected personal data so that their information remains up-to-date.
  3. Deletion: Consumers have the right to request the deletion of personal data provided by or about them.
  4. Data portability: Consumers can obtain a portable copy of their personal data, allowing them to transfer it to another service provider in a simple manner.
  5. Opt-out: Consumers have the right to choose not to let companies use their personal information for targeted ads, selling it to others, or profiling.

CTDPA definuje "osobní údaje" jako jakékoli informace spojené nebo důvodně spojitelné s identifikovatelnou osobou, jako např:

  • adresa
  • čísla řidičských průkazů nebo občanských průkazů
  • údaje z cestovního pasu
  • čísla účtů
  • údaje o platební kartě
  • přihlašovací údaje

Existuje také podmnožina osobních údajů, tzv. "citlivé údaje", což může znít jako totéž, ale není tomu tak. Citlivé údaje jsou dodatečné osobní údaje, kterým se podle CTDPA dostává zvýšené ochrany a jejich zpracování vyžaduje výslovný souhlas fyzické osoby. Zahrnuje informace jako např:

  • rasový nebo etnický původ
  • náboženské přesvědčení
  • zdravotní stav a diagnóza
  • genetické nebo biometrické údaje
  • sexuální orientace
  • přesné údaje o zeměpisné poloze
  • jakékoli osobní údaje dětí mladších 13 let

64b7a1e6eca4c08237149544

Jaký je účel CTDPA?

Cílem CTDPA je vyvážit ochranu soukromí spotřebitelů a umožnit podnikům odpovědně nakládat s osobními údaji. Poskytuje jednotlivcům větší kontrolu nad jejich informacemi, respektuje jejich preference v oblasti ochrany soukromí a umožňuje jim činit informovaná rozhodnutí.

Zákon rovněž ukládá organizacím odpovědnost tím, že vymezuje povinnosti při zpracování údajů, bezpečnostní postupy a transparentní postupy udělování souhlasu, a podporuje tak spravedlivé a etické postupy při zpracování údajů v rámci podnikatelské komunity.

Jedním z klíčových aspektů CTDPA je přístup k řešení případů narušení bezpečnosti údajů. Vyžaduje, aby podniky v případě narušení rychle informovaly dotčené osoby a příslušné orgány.

V neposlední řadě se Connecticut zavedením tohoto komplexního zákona o ochraně osobních údajů přizpůsobuje národním a celosvětovým trendům v oblasti regulace ochrany osobních údajů, čímž prokazuje své odhodlání řešit problémy ochrany údajů.

Oblast působnosti CTDPA: Na koho se vztahuje?

Nejprve rozlišujme dva typy subjektů, o nichž CTDPA hovoří: správce údajů a zpracovatele údajů. "Správce" je organizace nebo podnik, který určuje účely a prostředky zpracování osobních údajů. Naproti tomu "zpracovatel" zpracovává osobní údaje podle pokynů správce, ale nemá rozhodovací pravomoc o osobních údajích.

The CTDPA applies to businesses operating within Connecticut or offering products and services to Connecticut residents, provided they either:

1. controlled or processed personal data of 100,000 or more consumers in the previous year (data processed solely for completing a payment transaction is exempt),

or

2. controlled or processed personal data of 25,000 or more consumers during the preceding year and derived over 25% of their gross revenue from selling personal data.

Stejně jako coloradský zákon o ochraně osobních údajů ani CTDPA neobsahuje hranici příjmů, takže do své působnosti může zahrnout širší okruh podniků. Takže i když vlastníte nebo řídíte menší podnik, ale přesto zpracováváte velké množství osobních údajů, může se na vás zákon CTDPA vztahovat.

Důsledky a povinnosti CTDPA pro společnosti

Nyní, když jsme si řekli, co CTDPA znamená pro spotřebitele, je čas pochopit praktické důsledky pro podniky. Jak mají podniky zajistit ochranu osobních údajů spotřebitelů způsobem, který je v souladu s novým zákonem o ochraně osobních údajů státu Connecticut?

Controllers' obligations

  • Transparency: Controllers must be transparent about their data processing practices, informing consumers about the purpose and extent of data collection, as well as information about how the consumer can exercise their rights.
  • Data minimization: Controllers can only collect and process the minimum amount of personal data necessary for the specified purposes.
  • Avoiding secondary use: Personal data should not be processed for reasons unrelated to the original purpose without explicit consent.
  • Security: Controllers have to implement security measures to safeguard personal data from unauthorized access or breaches. Not only enforcing internal policies but also having a good data loss protection solution in place is a smart way to comply with this responsibility.
  • Consent: Obtaining valid consent from consumers before processing their personal data is crucial. More about consent is below.

Processors' obligations

  • Compliance with controller instructions: Processors must strictly adhere to the instructions provided by the controllers regarding data processing activities.
  • Assisting with consumer rights requests: Processors should assist controllers in responding to consumer rights requests, such as access, correction, deletion, or data portability.

Smlouvy o zpracování údajů

Správci a zpracovatelé musí podepsat jasné a komplexní dohody o zpracování údajů, které stanoví povinnosti každé strany.

Posouzení ochrany údajů

Zákon CTDPA vyžaduje, aby podniky prováděly posouzení ochrany údajů (DPA) pro činnosti zahrnující osobní údaje, které by mohly potenciálně způsobit újmu spotřebitelům. Cílem DPA je pečlivě analyzovat rizika a přínosy těchto činností zpracování údajů pro spotřebitele, společnost provádějící zpracování a širokou veřejnost.

Na žádost generálního prokurátora státu Connecticut musí podniky toto posouzení poskytnout k prošetření. Vztahuje se na činnosti zpracování údajů probíhající po 1. červenci 2023 a neplatí zpětně.

Opting out and consumer consent

  • Controllers must provide consumers with a clear and easily accessible option to opt out of targeted advertising, sale of personal data, or profiling.
  • Starting in January 2025, the CTDPA will mandate businesses to respect a universal opt-out preference signal that is unambiguous, consumer-friendly, and easy to use.
  • Consumers have the right to revoke their consent for data processing at any time, and controllers must promptly respect and implement the revocation.

Dodržování zákona CTDPA

Pro podniky je zásadní, aby si byly vědomy těchto nových povinností, aby mohly zavést procesy zajišťující soulad s CTDPA. Nejenže si tak zachovají důvěru spotřebitelů, ale také se vyhnou sankcím.

Vymáhání CTDPA spadá do výlučné pravomoci generálního prokurátora státu Connecticut, který může proti jeho porušení zakročit.

Až do 31. prosince 2024 platí lhůta "Notice and Cure", což znamená, že generální prokurátor bude podniky informovat o porušení CTDPA a dá jim možnost do 60 dnů napravit případné pochybnosti o nedodržení. Od roku 2025 bude v pravomoci generálního prokurátora, zda podnik dostane příležitost napravit porušení předtím, než mu bude uložena sankce, či nikoli.

Sankce za nedodržení předpisů mohou zahrnovat pokuty až do výše 5 000 USD za každé porušení.

Software DLP společnosti Safetica: Řešení pro dodržování CTDPA

Pokud jde o dodržování CTDPA, software Safetica pro ochranu před ztrátou dat (DLP) nabízí podnikům cenné řešení. Díky svým uživatelsky přívětivým funkcím může Safetica pomoci organizacím vyznat se ve složitosti CTDPA a zajistit, aby se s daty spotřebitelů nakládalo zodpovědně.

Jedním z podstatných aspektů dodržování CTDPA je provádění posouzení ochrany dat. Software Safetica DLP tento proces zjednodušuje a umožňuje podnikům identifikovat a vyhodnocovat potenciální rizika spojená s činnostmi zpracování dat.

Safetica's DLP products provide an award-winning interface and robust security features. For example:

  1. Data classification: Easily identify and classify personal data within your organization, ensuring proper handling and protection.
  2. Data monitoring and auditing: Monitor data usage in real-time, track sensitive data transfers, and generate detailed audit logs for compliance reporting and analysis.
  3. Access controls: Implement access controls to ensure that only authorized personnel can access sensitive data, reducing the risk of data breaches.
  4. Incident response: Safetica's software enables you to respond quickly to potential data breaches, allowing you to investigate incidents, contain the impact, and mitigate risks.

Díky spolupráci se společností Safetica můžete proaktivně řešit problémy spojené s ochranou osobních údajů a dodržováním předpisů. Pomůžeme vám proplout složitostí ochrany dat a zároveň zachovat produktivitu a efektivitu.

Přečtěte si, jak být v souladu s nařízením CTDPA

Similar posts