Ve Spojených státech neexistuje jediný komplexní federální zákon o ochraně osobních údajů, jako je GDPR v EU. Místo toho mají některé státy vlastní předpisy o ochraně osobních údajů s jedinečnými ustanoveními. Jedním z významných právních předpisů je zákon o ochraně osobních údajů státu Connecticut (CTDPA), který nabyl účinnosti 1. července 2023.
Podobně jako kalifornský zákon o ochraně osobních údajů spotřebitelů , virginský zákon o ochraně osobních údajů spotřebitelů (VCDPA) a coloradský zákon o ochraně osobních údajů (CPA) se CTDPA zaměřuje na ochranu osobních údajů spotřebitelů a poskytuje jim větší kontrolu nad tím, jak jsou shromažďovány, používány a sdíleny.
V tomto článku se blíže podíváme na zákon o ochraně osobních údajů v Connecticutu, prozkoumáme jeho účel, rozsah a to, co by vaše firma měla dělat, aby jej dodržovala.
CTDPA je zákon, který spotřebitelům poskytuje kontrolu nad jejich osobními údaji, které shromažďují a zpracovávají podniky a organizace. Aby to umožnil, stanoví pro podniky a organizace v Connecticutu povinnosti a standardy ochrany soukromí (více o rozsahu níže).
CTDPA definuje "osobní údaje" jako jakékoli informace spojené nebo důvodně spojitelné s identifikovatelnou osobou, jako např:
|
|
Existuje také podmnožina osobních údajů, tzv. "citlivé údaje", což může znít jako totéž, ale není tomu tak. Citlivé údaje jsou dodatečné osobní údaje, kterým se podle CTDPA dostává zvýšené ochrany a jejich zpracování vyžaduje výslovný souhlas fyzické osoby. Zahrnuje informace jako např:
|
|
Cílem CTDPA je vyvážit ochranu soukromí spotřebitelů a umožnit podnikům odpovědně nakládat s osobními údaji. Poskytuje jednotlivcům větší kontrolu nad jejich informacemi, respektuje jejich preference v oblasti ochrany soukromí a umožňuje jim činit informovaná rozhodnutí.
Zákon rovněž ukládá organizacím odpovědnost tím, že vymezuje povinnosti při zpracování údajů, bezpečnostní postupy a transparentní postupy udělování souhlasu, a podporuje tak spravedlivé a etické postupy při zpracování údajů v rámci podnikatelské komunity.
Jedním z klíčových aspektů CTDPA je přístup k řešení případů narušení bezpečnosti údajů. Vyžaduje, aby podniky v případě narušení rychle informovaly dotčené osoby a příslušné orgány.
V neposlední řadě se Connecticut zavedením tohoto komplexního zákona o ochraně osobních údajů přizpůsobuje národním a celosvětovým trendům v oblasti regulace ochrany osobních údajů, čímž prokazuje své odhodlání řešit problémy ochrany údajů.
Nejprve rozlišujme dva typy subjektů, o nichž CTDPA hovoří: správce údajů a zpracovatele údajů. "Správce" je organizace nebo podnik, který určuje účely a prostředky zpracování osobních údajů. Naproti tomu "zpracovatel" zpracovává osobní údaje podle pokynů správce, ale nemá rozhodovací pravomoc o osobních údajích.
Stejně jako coloradský zákon o ochraně osobních údajů ani CTDPA neobsahuje hranici příjmů, takže do své působnosti může zahrnout širší okruh podniků. Takže i když vlastníte nebo řídíte menší podnik, ale přesto zpracováváte velké množství osobních údajů, může se na vás zákon CTDPA vztahovat.
Nyní, když jsme si řekli, co CTDPA znamená pro spotřebitele, je čas pochopit praktické důsledky pro podniky. Jak mají podniky zajistit ochranu osobních údajů spotřebitelů způsobem, který je v souladu s novým zákonem o ochraně osobních údajů státu Connecticut?
Správci a zpracovatelé musí podepsat jasné a komplexní dohody o zpracování údajů, které stanoví povinnosti každé strany.
Zákon CTDPA vyžaduje, aby podniky prováděly posouzení ochrany údajů (DPA) pro činnosti zahrnující osobní údaje, které by mohly potenciálně způsobit újmu spotřebitelům. Cílem DPA je pečlivě analyzovat rizika a přínosy těchto činností zpracování údajů pro spotřebitele, společnost provádějící zpracování a širokou veřejnost.
Na žádost generálního prokurátora státu Connecticut musí podniky toto posouzení poskytnout k prošetření. Vztahuje se na činnosti zpracování údajů probíhající po 1. červenci 2023 a neplatí zpětně.
Pro podniky je zásadní, aby si byly vědomy těchto nových povinností, aby mohly zavést procesy zajišťující soulad s CTDPA. Nejenže si tak zachovají důvěru spotřebitelů, ale také se vyhnou sankcím.
Vymáhání CTDPA spadá do výlučné pravomoci generálního prokurátora státu Connecticut, který může proti jeho porušení zakročit.
Až do 31. prosince 2024 platí lhůta "Notice and Cure", což znamená, že generální prokurátor bude podniky informovat o porušení CTDPA a dá jim možnost do 60 dnů napravit případné pochybnosti o nedodržení. Od roku 2025 bude v pravomoci generálního prokurátora, zda podnik dostane příležitost napravit porušení předtím, než mu bude uložena sankce, či nikoli.
Sankce za nedodržení předpisů mohou zahrnovat pokuty až do výše 5 000 USD za každé porušení.
Pokud jde o dodržování CTDPA, software Safetica pro ochranu před ztrátou dat (DLP) nabízí podnikům cenné řešení. Díky svým uživatelsky přívětivým funkcím může Safetica pomoci organizacím vyznat se ve složitosti CTDPA a zajistit, aby se s daty spotřebitelů nakládalo zodpovědně.
Jedním z podstatných aspektů dodržování CTDPA je provádění posouzení ochrany dat. Software Safetica DLP tento proces zjednodušuje a umožňuje podnikům identifikovat a vyhodnocovat potenciální rizika spojená s činnostmi zpracování dat.
Díky spolupráci se společností Safetica můžete proaktivně řešit problémy spojené s ochranou osobních údajů a dodržováním předpisů. Pomůžeme vám proplout složitostí ochrany dat a zároveň zachovat produktivitu a efektivitu.
Přečtěte si, jak být v souladu s nařízením CTDPA