Det är officiellt. Cornhusker State har nya dataskyddslagar. Nebraska Data Privacy Act (NDPA) ansluter sig nu till ett växande antal delstatslagar som företag måste följa i avsaknad av federal lag.
Den här bloggen beskriver de viktigaste bestämmelserna i Nebraska Privacy Act och vad det betyder för företag baserade i Nebraska eller de som gör affärer med konsumenter.
Vad är NDPA?
NDPA är en omfattande datasekretesslag utformad för att skydda konsumenter och ge dem kontroll över sin personliga information. Vi ger dem vissa rättigheter som beskrivs nedan och ger dem: kontrollereller den enhet som bestämmer ändamålen och medlen för behandlingen baserat på:akustiska datainnehåller specifika krav angående hur data och konsumentförfrågningar relaterade till data hanteras.
Tillämpningsområdet för denna lag är Texas Data Privacy and Security Act (TDPSA)Detta inkluderar krav på överensstämmelse med dess tillämplighet, känsliga uppgifter och universella opt-out-mekanismer.
Konsumenträttigheter beviljade av Nebraska Privacy Act
Nebraska Data Privacy Act ger konsumenter samma rättigheter som tidigare, inklusive rättigheterna att:
- Ta reda på om den personuppgiftsansvarige behandlar och har tillgång till konsumentens personuppgifter.
- Korrigera eventuella felaktigheter i en konsuments personuppgifter.
- Radera alla personuppgifter som tillhandahålls av eller erhållits om konsumenten.
- Skaffa en kopia av dina personuppgifter i ett användbart format som kan överföras till en annan personuppgiftsansvarig.
- välja bort Bearbetning av riktad reklam, försäljning av personuppgifter eller profilering av om beslutet har rättsliga eller andra betydande konsekvenser för konsumenten.
Nebraskas integritetslagstiftning kräver att registeransvariga är lyhörda för konsumentfeedback. Anspråk på föremålsrättigheter inom 45 dagar. Den beskriver också bestämmelserna för förlängningar, avslag och överklagande.
Tillämpning av NDPA: Vem behöver följa?
Liksom TDPSA gäller Nebraskas integritetslagstiftning för:
- Gör affärer i Nebraska eller producera produkter eller tjänster för konsumtion av invånare i Nebraska.
- involvera behandling eller försäljning av personuppgifter;och
- Det är inte ett litet företag enligt definitionen i den federala Small Business Act.
En anmärkningsvärd aspekt av tillämpningen av NDPA är att det, till skillnad från de flesta andra statliga lagar, inte finns några intäkter eller mängd data som behandlas.
som många andra Omfattande dataskyddslagar, har statliga åklagare befogenhet att upprätthålla lagar om datasekretess. Lagen föreskriver att riksåklagaren först måste meddela den personuppgiftsansvarige eller personuppgiftsbiträdet skriftligen om överträdelsen och ge en 30-dagars botemedelsperiod. Lyckligtvis för Nebraska-företag, till skillnad från dataskyddslagar i andra stater, slutar inte denna läkningsperiod.
Utöver att rätta till överträdelsen ska handläggaren eller processen även tillhandahålla ett skriftligt uttalande och stödjande dokumentation om att överträdelsen har åtgärdats och att den inte kommer att begå framtida överträdelser.
Underlåtenhet att bota en överträdelse inom 30-dagarsperioden eller brott mot det skriftliga uttalandet kommer att resultera i böter på 7 500 USD för varje överträdelse.
Undantag från Nebraskas integritetslagstiftning
Det finns många undantag från NDPA. I allmänhet gäller inte denna lag om:
- specifik enhetstatliga myndigheter, finansiella institutioner, vårdgivare, ideella organisationer, institutioner för högre utbildning och vissa allmännyttiga företag.
- Olika dataDetta inkluderar medicinsk information som skyddas av Health Insurance Portability and Accountability Act (HIPAA), hälsojournaler, patientidentifieringsinformation och data som används i forskning om människor.
- Data regleras av andra lagar. Förutom HIPAA är data undantagna från andra federala lagar, såsom Fair Credit Reporting Act, Driver Privacy Protection Act, Family Educational Rights and Privacy Act och Farm Credit Act.
- Personuppgifter samlas in och används för det ändamål för vilket de samlades inDetta inkluderar anställningsstatus, nödkontaktinformation, data som används för att administrera förmåner eller data som används i personliga eller hushållsaktiviteter.
Känsliga data och barndata enligt Nebraska Privacy Act
NDPA beskriver specifika krav för känsliga uppgifter och barnuppgifter. känslig data Detta är en kategori av personuppgifter. I likhet med Texas lag definierar Nebraskas dataskyddslagstiftning känslig information som:
- Personuppgifter som avslöjar ras eller etniskt ursprung, religiös övertygelse, mental eller fysisk hälsodiagnos, sexuell läggning eller medborgarskap eller immigrationsstatus.
- Genetiska eller biometriska uppgifter som behandlas i syfte att unikt identifiera en person.
- Personuppgifter insamlade från kända barn.eller
- Exakt geolokaliseringsdata.
Företag måste erhålla opt-in samtycke för att behandla känsliga konsumentuppgifter. Personuppgifter som samlas in från kända barn klassificeras också som känsliga uppgifter enligt NDPA, så liknande samtycke krävs vid behandling av uppgifter från barn under 13 år. Där står det att barns uppgifter ska behandlas i enlighet med federala bestämmelser. Children’s Online Privacy Protection Act (COPPA).
Om en personuppgiftsansvarig eller personuppgiftsbiträde uppfyller kraven för föräldrars samtycke COPPA, anses de automatiskt uppfylla kraven för att erhålla föräldrarnas samtycke enligt NDPA.
Data Protection Impact Assessment (DPIA)
Nebraskas integritetslagstiftning kräver att registeransvariga utför och dokumenterar DPIA för olika aktiviteter som involverar personuppgifter, inklusive databehandling för riktad reklam. Sälja personuppgifter, om det utgör en risk för konsekvenser såsom orättvis eller vilseledande behandling, ekonomisk, fysisk skada eller anseende, intrång i konsumentens ensamhet eller annan betydande skada för konsumenten.
Det krävs även när känsliga uppgifter behandlas eller vid behandling av personuppgifter som innebär en ökad risk för skada för konsumenter.
Efterlevnad av Nebraskas dataskyddslagar
Om ditt företag följer andra omfattande dataskyddslagar kan du få ett försprång genom att följa NDPA. Det är fortfarande viktigt för organisationer att utvärdera hur denna lag påverkar deras databehandlingsaktiviteter i förhållande till invånare i Nebraska. Att granska lagspråket med din advokat är ett bra ställe att börja.
Håll koll på integritetslagar genom att prenumerera på Osano nyhetsbrev, är också till hjälp. Slutligen har flera fler statliga integritetslagar lämnats in till sina respektive guvernörskontor och investerats i integritetsplattformar, inklusive: Osanovilket hjälper till att effektivisera datahantering och upprätthålla efterlevnad.
FAQ
När börjar Nebraska Data Privacy Act träda i kraft?
Nebraska Privacy Act träder i kraft den 1 januari 2025.
Tillhandahåller NDPA en behandlingsperiod för kontrollanter?
Ja, om en administratör visar sig ha brutit mot Nebraska Privacy Act har de 30 dagar på sig att åtgärda överträdelsen. Till skillnad från vissa datasekretesslagar har kureringsperioden inget slutdatum.
Vilka är påföljderna enligt NDPA?
Underlåtenhet att korrigera en överträdelse under åtgärdsperioden eller överträdelse av ett skriftligt uttalande kommer att resultera i böter på 7 500 USD för varje överträdelse, vilket är relativt standard enligt dataskyddslagar.
Finns det en privat talan?
Nej, det finns ingen privat rätt att tala enligt NDPA. Detta innebär att konsumenter inte kan väcka individuella eller grupptalan mot lagöverträdare.
Är Nebraskas integritetslagar opt-in eller opt-out?
I de flesta fall är denna lag opt-out, men kräver opt-in samtycke för känsliga uppgifter eller barnuppgifter.
