Safetica Blogs

Zákon o ochraně soukromí spotřebitelů v Utahu (UCPA): Rozsah působnosti, účel a způsoby, jak jej dodržovat.

Written by Sample HubSpot User | 4.10.2023 8:00:00

Jeden z nejnovějších kroků v oblasti ochrany údajů ve Spojených státech pochází z Utahu, který přijal zákon o ochraně soukromí spotřebitelů v Utahu (UCPA). Cílem zákona UCPA je vytvořit rovnováhu mezi ochranou údajů a obchodními zájmy. Vzhledem k tomu, že zákon UCPA vstoupí v platnost 31. prosince 2023, je na čase ponořit se do podrobností tohoto komplexního zákona o ochraně osobních údajů, abyste se ujistili, že jej nejen dodržujete, ale také co nejlépe chráníte práva fyzických osob na soukromí.

V tomto článku si posvítíme na jedinečné vlastnosti zákona UCPA, jeho význam v dnešním digitálním světě a na to, jak mohou podniky splnit jeho požadavky.

Co je to zákon UCPA?

Zákon UCPA, který byl uzákoněn 24. března 2022, je jako digitální strážce připravený chránit osobní údaje obyvatel Utahu. Jeho křídla se plně roztáhnou 31. prosince 2023 a pochopení jeho podstaty je nezbytné pro orientaci ve vyvíjející se oblasti ochrany osobních údajů.

Cílem tohoto zákona je chránit údaje generované při online interakcích a transakcích. Po zavedení zákona UCPA jsou na podniky, které nakládají s osobními údaji, kladeny vysoké nároky na odpovědnost a transparentnost. Jde o to zajistit, aby informace spotřebitelů nebyly zneužívány, nesprávně zpracovávány nebo zneužívány.

Podle zákona UCPA mají spotřebitelé právo na:

  • přístup k údajům, které správce zpracovává,
  • vymazat své údaje, pokud je správci přímo poskytli,
  • získat kopii svých osobních údajů způsobem, který je snadno přenosný a přenositelný k jinému správci, a
  • odmítnout cílenou reklamu nebo prodej svých údajů třetím stranám.

Tady je dohoda: podniky mohou stále standardně shromažďovat a zpracovávat osobní údaje, aniž by výslovně žádaly o souhlas spotřebitele (pokud mají vhodné zásady ochrany osobních údajů). Ale vzhledem k požadavkům zákona UCPA je to jako dát spotřebitelům dálkové ovládání ochrany osobních údajů, které jim dává pravomoc stanovit hranice toho, co se sdílí a co ne.

UCPA ve srovnání s jinými zákony o ochraně osobních údajů

Pojďme si na chvíli udělat několik srovnání. Možná znáte zákony o ochraně soukromí, jako je kalifornský zákon o ochraně soukromí spotřebitelů (CCPA), coloradský zákon o ochraně soukromí (CPA) azákon o ochraně údajů spotřebitelů ve Virginii (VCDPA) . Jedná se o průkopníky, kteří vytvářejí podmínky pro ochranu soukromí. Zákon UCPA kráčí svou vlastní cestou, přičemž se inspiruje těmito průkopníky, ale je považován za vstřícnější k podnikatelům než jeho protějšky v jiných státech. O některých hlavních rozdílech mezi zákonem UCPA a ostatními americkými zákony o ochraně osobních údajů budeme hovořit o něco později v tomto článku.

Jaký je účel zákona UCPA?

UCPA vstupuje do této sféry s jasnými záměry: Jeho hlavním cílem je posílit práva obyvatel Utahu na ochranu soukromí. Podle zákona UCPA mají spotřebitelé právo vědět, jak jsou jejich informace používány a sdíleny podniky. Mohou požádat o vymazání svých údajů nebo odmítnout, aby byly jejich údaje prodávány nebo používány pro cílenou reklamu.

Víme, co si myslíte: Žijeme v době, kdy jsou data krví růstu podniků. Jak to ovlivní můj podnik? Naštěstí inovace v podnikání a ochrana soukromí zákazníků nemusí být v rozporu. UCPA si uvědomuje potřebu rovnováhy. Ve skutečnosti je navržen tak, aby byl pragmatický a vstřícný k podnikům. UCPA uznává, že inovace založené na datech jsou pro obchodní úspěch nezbytné.

Rozsah působnosti UCPA: Na koho se vztahuje?

Pokud jste organizace, která podniká v Utahu nebo prodává své produkty obyvatelům tohoto státu a jejíž roční příjmy jsou 25 milionů USD nebo vyšší, vztahuje se na vás zákon UCPA. Pokud navíc zpracováváte osobní údaje pro více než 100 000 spotřebitelů nebo generujete více než polovinu svých příjmů z prodeje osobních údajů při zpracování informací pro nejméně 25 000 spotřebitelů, gratulujeme, ustanovení zákona UCPA se na vás vztahují také!

Existují však výjimky. Patří mezi ně vzdělávací instituce, neziskové organizace, vládní orgány, domorodé kmeny a několik dalších. Pokud váš podnik již dodržuje jiné zákony o ochraně osobních údajů, jako např. HIPAA nebo Gramm-Leach-Bliley Act, nemusí se od vás dodržování zákona UCPA vyžadovat.

Ačkoli se kritéria UCPA mohou zdát poněkud složitá, pohled na ně jako na jednotlivé dílky skládačky může pomoci objasnit celkový obraz. Splnění těchto kritérií není o jediném faktoru, ale o tom, jak jsou různé faktory vzájemně propojeny. Vaše příjmy, interakce se spotřebiteli a postupy zpracování údajů společně určují, zda vaše podnikání spadá pod UCPA.

Klíčové definice UCPA

Vítejte v zákulisí dodržování zákona UCPA! Abychom se lépe orientovali v ustanoveních zákona UCPA, pojďme si říci něco o některých důležitých definicích.

Správce vs. zpracovatel

  • Správce: Správce rozhoduje o zpracování osobních údajů. Rozhoduje o tom, proč a jak se údaje zpracovávají.
  • Zpracovatel: Zpracovatelé zpracovávají údaje jménem správců. Jejich úloha spočívá spíše v provádění než v rozhodování. Při zpracování údajů se řídí pokyny správců.

Pochopení těchto rolí je zásadní, protože povinnosti a opatření k zajištění souladu s UCPA se liší podle toho, zda jste správce nebo zpracovatel.

Osobní vs. citlivé údaje

Zákon UCPA rozlišuje mezi osobními a citlivými údaji. Zde je uvedeno jak:

  • Osobní údaje = identifikační informace. Podle UCPA lze osobní údaje spojit nebo přiměřeně spojit s identifikovatelnou osobou. Patří sem věci jako jména a e-mailové adresy, ale mohou se vztahovat i na méně zřejmé údaje, jako jsou IP adresy.
  • Citlivé údaje = citlivé informace. Citlivé údaje v rámci zákona UCPA zahrnují obzvláště choulostivé detaily, jako je rasový nebo etnický původ, náboženské přesvědčení, zdravotní historie, genetické a biometrické údaje a sexuální orientace. Tato kategorie potvrzuje zvýšený potenciál poškození nebo zneužití tohoto druhu informací, pokud se dostanou do nesprávných rukou.

Pozoruhodné je, že zákon UCPA nevyžaduje výslovný souhlas se zpracováním citlivých údajů. Nařizuje však jasné informování spotřebitelů a možnost odhlásit se před shromažďováním nebo zpracováním takových údajů.

Veřejně dostupné, deidentifikované nebo anonymizované informace nejsou vůbec považovány za osobní údaje.

Žádné peníze, žádný prodej

V kontextu zákona UCPA se prodejem rozumí výměna osobních údajů za peněžní náhradu ze strany správce třetí straně. Tento přímý peněžní prvek určuje, co představuje prodej pod zorným úhlem UCPA.

Ne každé sdílení údajů se však podle zákona UCPA považuje za prodej. Žádné peníze = žádný prodej. Pokud se nejedná o žádnou peněžní transakci, zákon UCPA ji neklasifikuje jako prodej. Toto rozlišení uznává různorodost datových transakcí.

Opatření kzajištění souladu a provádění zákona UCPA

Zde je zjednodušený rozpis kroků, které mají vést vaši firmu k dodržování požadavků UCPA:

  1. Pochopení použitelnosti: Zjistěte, zda váš podnik spadá do působnosti zákona UCPA na základě příjmů, údajů o spotřebitelích a spojení s Utahem.
  2. Mapování údajů: Zjistěte, zda je možné použít údaje z databáze UCPA: Určete typy osobních a citlivých údajů, které váš podnik zpracovává, včetně přesné kategorizace.
  3. Transparentnost: Vypracujte komplexní zásady ochrany osobních údajů, které objasňují postupy zpracování údajů, sdílené údaje, účely a zapojení třetích stran.
  4. Mechanismus odhlášení: Zavedení jasného a uživatelsky přívětivého mechanismu odhlášení, který spotřebitelům poskytne možnost omezit používání nebo prodej údajů.
  5. Zabezpečení údajů: Zavedení přísných bezpečnostních postupů v rámci celého podniku. Podívejte se namezinárodní normu ISO 27001 . Na adrese se zabývá 14 oblastmi systému zabezpečení informací v podniku a navrhuje opatření, která můžete zavést do praxe k jejich zabezpečení.
  6. Práva spotřebitelů: Nastavte procesy pro rychlou reakci na žádosti spotřebitelů a umožněte jim přístup k údajům, jejich vymazání nebo přenositelnost.
  7. Pravidelné aktualizace: Sledujte aktualizace a vývoj UCPA, abyste udrželi soulad s vývojem předpisů.

Vymáhání a sankce podle UCPA

Prosazování zákona UCPA spadá výhradně do pravomoci generálního prokurátora, což znamená, že zákon UCPA neumožňuje soukromým osobám podnikat právní kroky proti porušovatelům.

Když se objeví porušení, následují následující kroky:

  1. Upozornění: Generální prokurátor vydá správci nebo zpracovateli údajů písemné oznámení o porušení.
  2. Lhůta pro nápravu: Správce nebo zpracovatel má 30 dní na to, aby porušení napravil a potvrdil jeho vyřešení, jakož i to, co bylo učiněno, aby se v budoucnu neopakovalo.
  3. Donucovací opatření: Pokud porušení trvá i po uplynutí lhůty pro zjednání nápravy, může generální prokurátor zahájit donucovací opatření.

Porušení zákona UCPA může mít závažné důsledky. A také drahé: Porušení může mít za následek pokuty až do výše 7 500 USD za každý případ, v závislosti na závažnosti porušení ochrany osobních údajů. Společnosti mohou být rovněž odpovědné za vymáhání případných škod, které spotřebitelé utrpěli v souvislosti s nedodržením předpisů.

Pokračující nebo opakovaná porušení mohou vést i k soudním sporům, což zase představuje pro společnost další obrovskou finanční (a někdy i provozní) zátěž. Nemluvě o dopadu, který může mít nedodržování předpisů na pověst a důvěru zákazníků.

Srovnání s dalšími zákony o ochraně osobních údajů v USA.

USA nemají federální zákon o ochraně osobních údajů a každý stát si musí vymyslet svůj vlastní (i když zatím tak učinilo pouze 12 států). Mnoho společností a organizací, které podnikají napříč státy, tak musí podstupovat zdlouhavý proces zjišťování rozdílů mezi jednotlivými předpisy.

Zde jsou některé rozdíly mezi UCPA a ostatními významnými zákony o ochraně osobních údajů v USA:

Opt-out model souhlasu. Na rozdíl od Kalifornského zákona o ochraně soukromí spotřebitelů (CCPA), je zákon Colorado Privacy Act (CPA)a Connecticut Data Privacy Act (CTDPA), které vyžadují výslovný souhlas se shromažďováním údajů, používá UCPA místo toho model souhlasu opt-out. To znamená, že ve výchozím nastavení mohou být osobní údaje shromažďovány, zpracovávány a dokonce používány pro cílenou reklamu bez výslovného souhlasu spotřebitelů a že spotřebitelé mají právo se odhlásit, pokud si přejí, aby jejich údaje nebyly pro tyto účely používány.

Užší oblast působnosti. Zákon UCPA používá jako jeden ze způsobů, jak určit, které podniky musí dodržovat jeho nařízení, hranici příjmů. Kromě toho zákon UCPA umožňuje poměrně mnoho výjimek. Jiné státy mají širší záběr, přičemž některé, jako např. Connecticutský zákon o ochraně osobních údajů (CTDPA)., vůbec nezohledňují příjmy. To by mohlo vést k tomu, že se zákony o ochraně osobních údajů v jiných státech budou vztahovat na širší okruh podniků, což možná vytvoří bezpečnější prostředí pro jejich občany.

Definice prodeje údajů. UCPA definuje prodej jako výměnu osobních údajů za peněžní protihodnotu třetí straně. Na rozdíl od zákona CCPA nepovažuje za prodej nepeněžní transakce.

Nakládání s citlivými údaji: UCPA nepředepisuje výslovný souhlas se zpracováním citlivých údajů, místo toho vyžaduje jasná oznámení a možnosti odhlášení, čímž se liší od mnoha jiných zákonů o ochraně osobních údajů.

Obecně se UCPA jeví jako nejpříznivější pro podniky, protože umožňuje podnikům zaujmout pasivnější přístup ke spotřebiteli.

Jakmůže být Safetica vaším partnerem v oblasti dodržování UCPA

Orientace ve složitosti předpisů, jako je zákon o ochraně soukromí spotřebitelů v Utahu, vyžaduje robustní řešení ochrany údajů a společnost Safetica je zde, aby vaší organizaci pomohla tohoto cíle dosáhnout. A to uživatelsky přívětivým způsobem!

Naše řešení pro prevenci ztráty dat (DLP) nabízejí sadu nástrojů, s nimiž bude dodržování zákona UCPA hračka:

  • Klasifikace dat: Snadná identifikace a klasifikace osobních údajů ve vaší organizaci, která zajistí správné zacházení a ochranu.
  • Šifrování dat: Šifrování citlivých dat, které je znepřístupní neoprávněným osobám, a podpoří tak vaše úsilí o dodržování předpisů UCPA.
  • Monitorování a audit dat: Monitorování využití dat v reálném čase, sledování přenosů citlivých dat a generování podrobných auditních protokolů pro účely hlášení a analýzy dodržování předpisů.
  • Řízení přístupu: Jejich zavedením zajistíte, že k citlivým datům budou mít přístup pouze oprávnění pracovníci, čímž snížíte riziko narušení bezpečnosti dat.
  • Reakce na incidenty: Software Safetica vám umožní rychle reagovat na potenciální narušení dat vyšetřováním incidentů, omezením jejich dopadu a zmírněním rizik.

Chcete-li prozkoumat celou škálu funkcí a výhod, udělejte další krok se společností Safetica ještě dnes.

View full post