Czy musisz informować klientów o naruszeniu bezpieczeństwa danych?

Naruszenia danych i bezpieczeństwa stały się tak powszechne, że są niemal uważane za koszt prowadzenia działalności gospodarczej w dzisiejszych czasach. Nawet najbardziej ostrożne firmy mogą nie być w stanie zapobiec naruszeniu, które naraża na szwank prywatne informacje klientów. I tak jak żenujące może być naruszenie bezpieczeństwa danych, może być ono szczególnie szkodliwe dla klientów, jeśli ich informacje wpadną w niepowołane ręce.

O ile nie prowadzisz działalności wyłącznie w Alabamie, Nowym Meksyku lub Południowej Dakocie, jesteś prawnie zobowiązany do powiadomienia klientów o naruszeniu bezpieczeństwa, a może trzeba podjąć kroki w celu złagodzenia lub naprawienia szkód spowodowanych przez naruszenie. Ale prawa stanowe mogą się różnić w zakresie definicji naruszenia bezpieczeństwa, poziomu szkód, które wymagają powiadomienia i wymaganego powiadomienia, między innymi. Oto spojrzenie.

Statut Złotego Stanu

National Conference of State Legislatures udostępnia pełną listę stanowych ustaw dotyczących powiadamiania o naruszeniu ochrony danych. W sumie 47 stanów i Dystrykt Kolumbii wymagają od podmiotów prywatnych powiadamiania osób fizycznych o naruszeniach bezpieczeństwa dotyczących informacji umożliwiających identyfikację osób, ale nie każda ustawa jest taka sama.

Kalifornia, na przykład, przyjęła pierwszą ustawę o powiadamianiu w 2002 roku i ma ona zastosowanie do każdej osoby lub firmy, która prowadzi działalność gospodarczą w tym stanie i posiada lub ma dostęp do objętych nią informacji osobowych, z kilkoma wyjątkami. W przypadku naruszenia, firma musi powiadomić klientów „w możliwie najszybszym czasie i bez nieuzasadnionej zwłoki” i może być zmuszona do podania informacji o agencji sprawozdawczości kredytowej (CRA). Powiadomienie musi zawierać:

azwę i dane kontaktowe podmiotu objętego obowiązkiem; rodzaje informacji objętych obowiązkiem, które były przedmiotem naruszenia; jeśli są dostępne, datę, szacowaną datę lub zakres dat naruszenia; datę zawiadomienia; informację, czy zawiadomienie zostało opóźnione z powodu egzekwowania prawa; ogólny opis naruszenia; oraz numery bezpłatne i adresy głównych agencji ratingowych, jeśli narażone zostały numery SSN, prawa jazdy lub numery stanowych kart identyfikacyjnych.

Powiadomienie może być opóźnione, jeśli organy ścigania uznają, że utrudni to dochodzenie karne, a powiadomienie rządu jest wymagane, jeśli naruszenie dotyczy więcej niż 500 mieszkańców stanu. (Służba zdrowia powinna być świadoma, że wymagania dotyczące powiadomień są inne w przypadku naruszeń dotyczących osobistych informacji zdrowotnych).

Informacje federalne

każdy podmiot gospodarczy zaangażowany w handel międzystanowy lub mający wpływ na ten handel, który wykorzystuje, uzyskuje dostęp, przekazuje, przechowuje, pozbywa się lub gromadzi poufne informacje umożliwiające identyfikację osoby dotyczące więcej niż 10 000 osób w ciągu dowolnego okresu 12 miesięcy, powiadomić każdą osobę, której poufne informacje umożliwiające identyfikację osoby zostały, lub co do których istnieje uzasadnione podejrzenie, że zostały, udostępnione lub pozyskane, chyba że nie istnieje uzasadnione ryzyko wyrządzenia szkody lub oszustwa wobec takiej osoby.

Na razie małe firmy, które przechowują dane osobowe klientów, powinny zapoznać się z prawem stanowym dotyczącym powiadamiania. Można mieć nadzieję na najlepsze, jeśli chodzi o naruszenia danych, ale należy również planować na najgorsze. A jeśli twój mały biznes został naruszony, możesz chcieć skontaktować się z prawnikiem, aby upewnić się, że spełniasz wymagania stanowych ustaw dotyczących powiadamiania.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *