Egy új nemzeti adatvédelmi törvény, amely sok ugyanolyan fogyasztói adatvédelmi jogot ígér az amerikaiaknak, mint az Európai Unió általános adatvédelmi rendelete (GDPR), az Egyesült Államok Kongresszusán keresztül halad. A javasolt törvényjavaslat azonban elmarad a meglévő állami adatvédelmi törvényekben és szabályozásokban már rögzített adatvédelmi előírásoktól.
A szövetségi törvény célja, hogy egységes, nemzeti alapot biztosítson a fogyasztók adatvédelméhez, miközben kormányzati felügyeletet és végrehajtást biztosít a fogyasztók számára. Szövetségi Kereskedelmi Bizottság (FTC). A valóságban a javasolt Amerikai adatvédelmi és adatvédelmi törvény nem teljesíti a referenciaértékeket Kaliforniai fogyasztói adatvédelmi törvény (CCPA) 2018. évi, vagy azt helyettesítő Kaliforniai adatvédelmi törvény (CPRA), amely 1. január 2023-jén lép hatályba, állítják a kritikusok.
A törvény a hatáskörébe tartozna Szövetségi Kereskedelmi Bizottság (FTC), ami azt jelenti, hogy csak azokat a kérdéseket fedi le, amelyekkel az FTC már foglalkozott. Ide tartozik a fogyasztói csalás, a személyazonosság-lopás, a gyermekek magánélete és néhány kiberbiztonsági probléma.
Nancy Pelosi, egy kaliforniai képviselő, akinek a képviselőház elnökeként megvan a hatalma arra, hogy megakadályozza a törvényjavaslatot, hogy szavazásra kerüljön a képviselőházban, nyilatkozatot adott ki
szeptember 1-jén megjegyezve, hogy „az amerikai adatvédelmi és adatvédelmi törvény nem garantálja ugyanazt az alapvető fogyasztóvédelmet, mint Kalifornia jelenlegi adatvédelmi törvényei”. Kijelentését szakértők úgy értelmezik, hogy nem fogja támogatni a törvényjavaslatot a kaliforniai törvények védelmét szolgáló új elővásárlási nyelvezet nélkül, és inkább megölné, mintsem szavazásra bocsátaná.
Egy nyílt levél A kongresszusi vezetőknek a jelenleg adatvédelmi törvényekkel rendelkező államokat képviselő 10 főügyész arra ösztönözte a Kongresszust, hogy fogadjon el olyan jogszabályokat, amelyek csak a magánélet védelmének kiindulópontját határozzák meg. „Arra ösztönözzük a Kongresszust, hogy fogadjon el olyan jogszabályokat, amelyek nem plafont, hanem szövetségi szintet határoznak meg a kritikus személyiségi jogok számára, és tiszteletben tartják az államok által a lakosok magánéletének erős védelme érdekében már elvégzett fontos munkát” – írták. Idézték a meglévő szövetségi alapszabályokat más törvényekre vonatkozóan, ideértve a meglévő fogyasztói adatvédelmet, a gyermekek magánéletének és egészségügyi adatainak védelmét, valamint a HIPAA-t. "Minden szövetségi adatvédelmi keretnek teret kell hagynia az államoknak, hogy a technológiai változásokra és az adatgyűjtési gyakorlatokra reagálva alkossanak törvényeket" - írta a levélben a főügyész. „Ennek az az oka, hogy az államok jobban felkészültek arra, hogy gyorsan alkalmazkodjanak a technológiai innováció által jelentett kihívásokhoz, amelyek elkerülhetik a szövetségi felügyeletet.”
Az Electronic Frontier Foundation is küldött egy levelet Frank Pallone képviselőnek, a képviselőház energiaügyi és kereskedelmi bizottságának elnökének és a törvényjavaslat szponzorának, kérve a szövetségi törvényjavaslat rendelkezéseinek megerősítését és az állami adatvédelmi törvényjavaslatok elővásárlásának megszüntetését. Az Illinois Information Privacy Act, a CCPA és a vermonti Data Broker Act már védi a fogyasztókat, és más államok is hasonló javaslatokat vizsgálnak. „Míg az EFF támogatja a szövetségi jogszabályokat, amelyek ténylegesen védik a fogyasztók adatainak védelmét, régóta ellenezzük ezt, ha az ár az erősebb állami törvények elővásárlása” – írja a levélben az EFF.
Kalifornia ellenzi a gyengített védelmet
A törvényjavaslatot erős kritika érte Kaliforniából is, ahol a Kaliforniai Adatvédelmi Ügynökség adta ki egy memorandum amely azt javasolja, hogy a képviselőház 12%-át kitevő kaliforniai kongresszusi delegáció ellenezze a törvényjavaslatot.
A kaliforniai törvényhozók és állami tisztviselők számos olyan területre hivatkoznak, ahol azt állítják, hogy a szövetségi törvény csökkentené a jelenleg hatályos állami törvények által biztosított magánélet védelmét. Ezek közé tartozik a magánélet védelmének csökkentése az abortuszhoz kapcsolódó szolgáltatásokat és a tizenévesek mentális egészségét kereső személyek számára.
A jelenlegi szövetségi törvényjavaslat nem teszi lehetővé Kaliforniának a szövetségi törvény végrehajtásával kapcsolatos pénzbírságok behajtását. Ezzel szemben a CCPA jelenleg jelentős szankciók behajtását teszi lehetővé az állami törvények megsértése miatt.
További változtatások, amelyeket az ADPPA a CCPA hatálya alá tartozó Kaliforniában hajtana végre:
- Az automatizált döntéshozatal jelenlegi leiratkozásának megszüntetése
- A kaliforniai meghatározás helyébe személyes adatokat meghatározásával lefedett adatok amely nem tartalmaz néhány „származékos adatot és egyedi azonosítót” a kaliforniai törvények értelmében
- Bizonyos védelmek megszüntetése a személyiségi jogok gyakorlásának megtorlása tekintetében
- Követelmény hozzáadása a globális leiratkozási kérelmek hitelesítésére – a kaliforniai törvény előírja a vállalkozásoknak, hogy tiszteletben tartsák a böngésző adatvédelmi jelzéseit, míg az ADPPA kifejezett feliratkozást ír elő az érzékeny kategóriák esetében
Debbie Reynolds, egy globális adatvédelmi és adatvédelmi szakértő, valamint a Debbie Reynolds Consulting vezérigazgatója és adatvédelmi igazgatója szerint a szövetségi törvényjavaslat csak az eszköz eredeti fogyasztójára korlátozza az adatvédelmi jogokat. Például, ha egy digitális asszisztens, például az Alexa egy irodában tartózkodik, csak az Alexa szolgáltatást megvásárló cég védi a magánéletét. Bármely olyan alkalmazottat sem véd meg a törvény, aki az eszköz felett van, és személyes információkat vitat meg, mivel nem ők az fogyasztó az eszköz szolgáltatásából.
Fiona Campbell-Webster, a MediaMath adatvédelmi tisztviselője, valamint a felhőalapú Beeswax, a Comcast által megvásárolt SaaS-alkalmazás korábbi főjogtanácsosa és globális adatvédelmi tisztje szerint ennek valós következményei vannak.
„Szerintem észben kell tartanunk, mielőtt ezek a törvények véglegesítenék, mit jelent ez az internetes interakció során szerzett tartalomfogyasztás élményében” – mondja. „Az aggodalmak… a nem szándékos következményei annak, ha a nagy platformok végül mindent irányítanak.”
Arra figyelmeztet, hogy a magánéletnek ára van. „Szerintem nagyon szégyen lenne látni egy olyan világot, ahol megbüntettek minket, ha nem tudnánk fizetni a különféle szolgáltatásokért, amelyeket most bizonyos módon ingyen kapunk.” Figyelmeztetett, hogy az adatvédelmi törvényjavaslat egyes nem szándékos következményei negatívan érinthetik a kisvállalatokat, és magasabb költségek megfizetésére kényszeríthetik őket, hogy megfeleljenek az új adatvédelmi szabályozásnak.
Kanada hasonló jogszabályokat mérlegel
Nem az Egyesült Államok az egyetlen észak-amerikai ország, amely egy új, nemzeti adatvédelmi törvény kidolgozásán dolgozik. Kanada bevezette a régóta várt Digitális Charta végrehajtási törvényt, 2022 - Bill C-27 – amely egy hasonló törvényjavaslatot vált fel, amelyet 2021 augusztusában nem fogadott el a kanadai parlament. A törvényjavaslat a fogyasztói adatvédelmi törvényt (CPPA), a személyes adatok és adatvédelmi bíróságról szóló törvényt, a mesterséges intelligenciáról és az adatokról szóló törvényt, valamint a egyéb meglévő jogi aktusok módosítása.
„Ez egy nagyon fontos törvény Kanada számára” – mondja David Goodis, a torontói INQ Law partnere. „Minden tartományban és területen érvényes lesz, kivéve Brit Kolumbiát, Albertát és Quebecet. Quebec az év elején elfogadta saját új, frissített törvényét. BC és Alberta azt fontolgatják, hogy frissítik a már nagyon régi törvényeiket. Quebec kivételével a CPPA lesz a legmodernebb és legszigorúbb adatvédelmi törvény Kanadában, és nagyjából egyenrangú az európai GDPR-ral és a kaliforniai CCPA-val.”
Van néhány jelentős különbség a régi Bill C-11 és az új Bill C-27 között, mondja Goodis. „Számos olyan új kötelezettség hárul a szervezetekre, amelyek be nem tartása esetén pénzbírságot vonhatnak maguk után. Például a szervezeteknek be kell vezetniük egy adatvédelmi programot, biztosítaniuk kell, hogy szolgáltatóik egyenértékű adatvédelemmel rendelkezzenek, amikor személyes adatokat továbbítanak a vállalattól a szolgáltatóhoz, és gondoskodniuk kell arról, hogy a biztonsági rést észlelő szolgáltató értesítse a szervezetet. A jogszabálynak egy teljesen új része is foglalkozik a gyermekek magánéletének védelmével kapcsolatos sajátos aggályokkal” – magyarázza.
Ezen kívül szerint elemzés
A DLA Piper globális üzleti ügyvédi iroda részéről a régi törvényjavaslat nem váltotta fel azokat a tartományi törvényeket, amelyek „lényegében hasonlóak” a szövetségi törvényhez, ami azt jelentette, hogy Quebec, Alberta és British Columbia tartományok alkalmazhatták volna helyettük törvényeiket. a szövetségi. Bár az új törvényjavaslat lehetővé teszi a szövetségi kormány számára, hogy eldöntse, hogy a tartományi törvények lényegében hasonlóak-e, és így érvényesek-e, még nem világos, hogy Alberta és British Columbia átmegy-e a találkozón – Quebec 2021-ben frissítette adatvédelmi törvényét, várhatóan mentesül.
