Početna Blog ADPPA vs. GDPR?

ADPPA vs. GDPR?

Svi članci
13.09.2022.

Američki propisi o privatnosti i zaštiti podataka u usporedbi s GDPR-om

 

SAD bi ove godine mogao dočekati svoj prvi savezni zakon o privatnosti ako se usvoji prijedlog regulative o privatnosti i zaštiti podataka (ADPPA) u sadašnjem obliku. Do danas je zakon o privatnosti u SAD-u donesen samo u nekim državama (u Kaliforniji, Coloradu, Connecticutu, Utahu i Virginiji) i prvenstveno je bio usmjeren na sigurnost podataka, a ne na prava pojedinaca u odnosu na njihove podatke.

ADPPA bi uveo dodatna prava za pojedince na isti način na koji GDPR ima u EU.

Postoje mnoge sličnosti između ADPPA i GDPR-a. Konkretno, ADPPA se odnosi na "covered data", koji po definiciji imaju mnogo sličnosti s "osobnim podacima" prema GDPR-u, utoliko što se odnose na informacije koje identificiraju (ili bi se mogle povezati s drugim informacijama za identifikaciju) pojedinca. Pojedincima se također daju prava da zatraže pristup, ispravak i brisanje na sličan način kao prema GDPR-u. "Sensitive covered data" također imaju poseban status prema ADPPA-i usporedivi su sa statusom "podataka posebne kategorije " prema GDPR-u.

Međutim, postoje neke ključne razlike između režima ADPPA i GDPR koje mogu uzrokovati probleme s implementacijom svim tvrtkama. Na primjer, "pojedinci" prema ADPPA-u pokrivaju samo rezidente SAD-a, što znači da pojedinci koji borave u EU neće uživati zaštitu prema ADPPA-i kada se njihovi podaci obrađuju. Prema ADPPA, tvrtke u istoj grupi ne smatraju se "trećim stranama" na isti način kao što su prema GDPR-u. To bi moglo značiti da su prijenosi podataka unutar korporativne grupe isključeni iz zahtjeva za prijenose koji bi se obično primjenjivali. 

 

Pregled je podijeljen na poglavlja gdje su uspoređeni određeni pojmovi u ADPPA i GDPR

„Covered data“ vs. Osobni podaci

ADPPA se ne primjenjuje na isti opseg osobnih podataka obuhvaćenih GDPR-om. Obuhvaćeni podaci u ADPPA definirani su kao informacije koje identificiraju ili su povezane ili razumno povezane s pojedincima (odjeljak 2 (8) (A) ADPPA), ali isključuje:

(i) neidentificirane podatke,

(ii) podatke o zaposlenicima i

(iii) javno dostupne informacije (kao i zaključke izvedene iz takvih informacija). 

 

„Individuals“ vs. Data Subject

„Individuals“ je pojam koji se predstavlja osobu na koju se odnose „Covered data“ tako i jest usporediv s GDPR pojmom ispitanika. Međutim, termin „Individuals“ pokriva samo one koji žive u SAD-u (odjeljak 2 (16) ADPPA). Posljedično, pojedinci koji borave u EU neće uživati zaštitu ADPPA kada će njihove osobne podatke obrađivati subjekti obuhvaćeni ADPPA.

 

 Uloge u ADPPA

Covered entity (što odgovara ulozi voditelja obrade prema GDPR-u),

Service provider (što odgovara ulozi izvršitelja obrade prema GDPR-u), i

Third parties (donekle slično primatelju podataka prema GDPR-u koji ispunjava uvjete kao voditelj obrade) .

 

Covered Entities vs. Voditelji obrade

„Covered Entities“ definira se kao

(i) subjekt ili osoba koja samostalno ili zajedno s drugima određuje svrhu i način prikupljanja, obrade ili prijenosa pokrivenih podataka i

(ii) oni (subjekti ili osobe) koji (e) podliježu federalnim Trade Commission Act, Communications Act iz 1934. ili predstavljaju neprofitnu organizaciju (Sec. 2 (9) ADPPA). Subjekt koji kontrolira ili je kontroliran ili je pod zajedničkom kontrolom s drugim subjektom

ADPPA ne razlikuje tako striktno različite pravne osobe koje pripadaju istoj skupini kao što to čini GDPR, nego uzima u obzir grupu kao cjelinu.

Savezna, državna ili druga državna tijela nisu obuhvaćena ovim pojmom (Odjeljak 2 (9) (C) ADPPA).

 

Service Providers vs. Izvršitelji obrade

Definicija „Service Providers“ uvelike odgovara definiciji Izvršitelja obrade.

Jedna primjetna razlika je da „Covered Entities“ nije odgovoran za bilo kakve povrede zaštite podataka svojeg Izvršitelja obrade ako je poštivao ADPPA prilikom prijenosa podataka (čl. 302 (c) (2) ADPPA).

 

Treće strane

Što se tiče pojma „Third parties“ u ADPPA u odnosu na GDPR, ADPPA u „Third parties“ ne uključuje subjekt koji obrađuje „Covered data“ koje je primio od pridruženog društva (odjeljak 2 (31) (B) ADPPA) dok kod GDPR prijenosi podataka unutar grupe tvrtki podliježu istim pravnim zahtjevima kao i prijenosi vanjskim stranama.

 

Duty of Loyalty vs. Načela obrade osobnih podataka

 

ADPPA utvrđuje opća načela obrade osobnih podataka kao i GDPR.

Permissible Purposes vs. Zakonitost obrade

 

Za razliku od čl. 6., st.1., točke f) GDPR-a, ADPPA ne predviđa fleksibilnost pojma legitimnog interesa. Umjesto toga, ADPPA definira interese „Covered entity“ koji se smatraju legitimnim i koji dopuštaju obradu podataka.

ADPPA ne predviđa privolu kao osnovu za obradu (pristanak je potreban samo u nekim okolnostima).

 

„Affirmative Express Consent“

Valjani pristanak prema ADPPA odnosi se na potvrdni izričiti pristanak (odjeljak 2. (1) (A) ADPPA). Takav pristanak zahtijeva slobodno, određeno, informirano i nedvosmisleno dopuštenje za radnju ili praksu koja je jasno priopćena osobi čiji se pristanak traži.

Neaktivnost pojedinca ili nastavak korištenja usluga ili proizvoda nisu dovoljni za utvrđivanje navedenog pristanka (odjeljak 2 (1) (C) ADPPA) čak i ako je „Covered Entity“ omogućio pojedincu da odustane. U navedenom postoji velika sličnost s GDPR-om.

 

Politika privatnosti vs. „Data Protection Declaration“

„Covered entities“ i „service providers“ moraju osigurati politiku privatnosti (čl. 202. ADPPA). Potrebne informacije (vidi odjeljak 202 (b)) uglavnom odgovaraju onima koje zahtijevaju čl. 13/14 GDPR-a. Svaka promjena politike privatnosti zahtijeva obavještavanje pogođenih pojedinaca i pružanja mogućnosti povlačenja pristanka obzirom na drugačiju obradu podataka.

 

„Sensitive Covered Data“ vs. Posebne kategorije osobnih podataka

Kao što GDPR predviđa posebne kategorije osobnih podataka i posebne uvjete obrade takvih podataka, tako i ADPPA predviđa „Sensitive Covered Data“.

Sensitive covered data (Sec. 2 (24) ADPPA) sadrži ipak širi raspon takvih posebnih kategorija osobnih podataka. Od onih navedenih u GDPR-u, jedino ne uključuje podatke o rasi, etničkom podrijetlu, vjeri ili članstva u sindikatu. No, proširuje na podatke kao što su privatna komunikacija, privatne fotografije i videozapise, informacije koje se odnose na mlađe od 17 godina, itd. Obrada takvih podataka je dopuštena samo ako je striktno neophodna za određeni proizvod ili uslugu koju je zatražio pojedinac ili za određene dopuštene svrhe, isključujući svrhu marketinga (Članak 102 (a) (2) ADPPA).

Prijenos osjetljivih pokrivenih podataka trećim stranama također podliježe daljnjim ograničenjima (čl. 102 (a) (3) ADPPA)

 

„Protection of Minors“

Podaci o osobama mlađim od 17 godina općenito se kvalificiraju kao osjetljivi podaci kada „Covered Entity “zna da je pojedinac mlađi od 17 godina(odjeljak 2 (24) (A) (xiii) ADPPA).

Zabranjeno je ciljano oglašavanje u pogledu maloljetnika i prijenosa podataka trećim stranama (čl. 205. ADPPA).

 

„Data Transfers“

Pod prijenos podataka podrazumijeva se otkrivanje podataka primatelju, bez obzira nalazi li se on u SAD-u ili ne.

Prijenos „Covered data“ generalno je dopušten ako je to razumno potrebno i razmjerno

(1) određenoj usluzi koju pojedinac traži

(2) očekivana komunikacija s pojedincem ili

(3) svrha izričito dopuštena od strane ADPPA (odjeljak 101 (a) ADPPA). Međutim, u slučaju prijenosa obuhvaćenih podataka trećoj strani koja se oslanja na Sec. 101 (a) (1) ili (2) od

ADPPA-e, pojedinci imaju pravo odustati od takvog prijenosa (odjeljak 204 (b) ADPPA). Postoje i dodatni zahtjevi ako se radi o „Sensitive Covered Data“ (odjeljak 102 (a) (3) ADPPA).

 

„International Data Transfers“

Za razliku od GDPR-a u Poglavlju V., ADPPA ne predviđa dodatne zahtjeve za međunarodni prijenos podataka.

 

„Consumer Data Rights“ vs. Ispitanikova prava

U pravilu ne postoji velika razlika. No, ADPPA predviđa ipak neka ograničenja. Sigurnosno kopiranje i arhiviranje podataka je isključeno iz prava pristupa, opseg pristupa je ograničen na podatke koji su obrađeni u posljednja 24 mjeseca, a ovisno o veličini „Covered Entity“ zakonsko vrijeme odgovora je između 45 i 135 dana (odjeljak 203. ADPPA) i mogu se osloniti na određene iznimke da odbiju odgovoriti na zahtjev.

 

Impact Assessment Obligations of Large Data Holders  vs. Procjena učinka na zaštitu podataka

Za razliku od GDPR-a, kod ADPPA ne postoji opća procjena učinka na zaštitu podataka. Umjesto toga, samo „Covered Entity“ ili „Service provider“ ako se kvalificira kao „Large data holder“ dužan je procijeniti utjecaj njegove obrade podataka na privatnost općenito (odjeljak 301 (d) ADPPA) i (2) procijeniti upotrebu algoritama u vezi s odgovarajućom obradom podataka, ako je primjenjivo, i dostaviti procjenu FTC (čl. 207 (c) (1) ADPPA).

 

Privacy Officers  vs. Službenik za zaštitu podataka

„Covered entities“ i „service providers“ moraju imenovati kvalificirane zaposlenike za obavljanje poslova „privacy officers“ i „data security officers“ (odjeljak 301 (c) ADPPA) Odgovornost ovlaštenih osoba ovisi o tome kvalificiraju li se kao „Large data Holder“.

 

Data Security Practices vs. Tehničke i organizacijske mjere

„Covered entities“ i „service providers“ dužni su primijeniti prakse i procedure za sigurnost podataka protiv neovlaštenog pristupa i prikupljanja pokrivenih podataka (čl. 208 ADPPA) uzimajući aspekte slične onima navedenima u čl. 32 GDPR-a.

 

Pre-emption

ADPPA ima prednost nad svim državni zakonima o privatnosti koji već uređuju neke aspekte pokrivene ADPPA – om, takav pristup je sličan i GDPR-u, eventualno za određena pitanja države su slobodna pri reguliranju.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori