2020年3月26日,华盛顿州的修正案,D.C.的数据泄露通知法在账单号中颁布了 B23-0215。简要介绍,修正案对影响D.C.居民的数据违规行为征收各种预防,反应和减缓义务。下面是应该了解哪些业务的关键变化的摘要。

坚果和螺栓

  • 该修订扩展了个人信息的定义,包括:
    • 个人的名字,第一个姓名和姓氏,或任何其他个人标识符,当与健康信息,遗传信息,护照号码,纳税人识别号码,健康保险信息或生物识别数据相结合时(这是先前列出的数据元素:社会安全号码(SSN);驾驶执照号码或DC身份证号码;或信用卡或借记卡号码);
    • 列出的数据元素的任何组合,“将使人能够提交身份盗窃而不引用一个人的名字或第一个姓名和姓氏或其他独立的个人标识符”;和
    • 当与上述数据元素(或其他验证方式)组合时,允许访问个人电子邮件帐户的用户名或电子邮件地址。
  • 该修订包括在违约后的消费者通知内容的以下附加要求:
    • 获取或合理地认为已被未经授权的人收购的个人信息类别的描述;
    • 通知公司,FTC,D.C.律师公司(AG)和主要消费者报告机构的联系方式;和
    • 消费者有权获得自由安全冻结(在联邦法律)以及在某些情况下,在某些情况下,有权盗窃预防服务权。
  • 该修正案还授权,当违反SSN或纳税人识别号码时,公司为消费者提供18个月的身份盗窃服务。
  • 该修正案还包括新要求,即股东委员会的书面通知,这些数据违约者会影响50个或更多的D.C.居民,其尤其是:(i)违约的性质; (ii)个人信息的类型受损; (iii)采取的补救措施。该修订还为其通知规定提供了AG规则制定权限。
  • 该修正案要求为拥有,许可,维护,处理或以其他方式处理D.C.居民个人信息的任何人或实体的合理安全措施和惯例的执行和维护。这些安全措施必须“适合个人信息的性质以及实体或运营的性质和规模”。
  • 该修正案还违反了D.C.的数据违规法不公平或欺骗性的贸易实践。

法律确实为经过部门隐私和数据保安法的实体提供了一些救济;它包含符合格拉姆 - 纬线的实体的某些例外,并进行了换规者的行为和健康保险便携性和问责法。根据“D.C.登记处的公开,该修正案将从D.C. Mayor批准之日起生效30天。

评论

该修正案展示了国家的趋势 隐私权施加数据安全要求 在企业。通过扩大个人信息的定义,法律的范围可能涵盖了收集或处理消费者信息的更多业务。此外,要求拥有自己,许可或以其他方式处理个人信息的组织建立合理的安全程序对企业提出了更大的责任,以确保他们有明智和可靠的做法来防止潜在的数据违规行为。要求向违规规模违反AG的书面通知表明可能更严格的执法和对违反违规法规的更大审查。收集和利用个人信息的企业也应考虑适当的AG外联战略,作为其更广泛的政府关系方法的一部分。总而言之,最近的修正案突出了有效的隐私程序,控制和维护,以管理隐私义务,并避免合法辐射的组织重要性。

虽然Covid-19主导了新闻周期,但企业不应忽视不断发展的隐私法,这些法律可以具有重大的财务,法律和声誉。 D.c.修正案提醒人们提醒,隐私景观是不断变化的,并且对企业努力评估法律风险,构建合规计划的企业仍然至关重要,并对影响业务决策产生影响和增加风险暴露的新发展。