Der Gesetzgeber von Utah hat einstimmig den Utah Consumer Privacy Act verabschiedet (SB 227) am 3. März 2022 – einen Tag bevor es zu seiner 64. Sitzung vertagt wurde.
Der Gesetzentwurf, der am 18. Februar 2022 eingebracht wurde, konnte weniger als eine Woche später im Senat beraten werden. Am 25. Februar stimmte der Senat einstimmig für die Verabschiedung des Gesetzesentwurfs und leitete ihn zur Genehmigung an das Repräsentantenhaus weiter, wo er nach geringfügigen Änderungen ebenfalls einstimmig verabschiedet wurde.
Der Senat bestätigte gestern die Änderungen des Repräsentantenhauses, trotz einer Koalition von Datenschutzgruppen und forderte den Gouverneur des Staates auf, den Gesetzentwurf zur weiteren Prüfung an die Legislative zurückzugeben.
Das vierte US-amerikanische Datenschutzgesetz
Der Gesetzentwurf liegt nun beim Gouverneur, der zwanzig Tage Zeit hat, über seine Unterzeichnung, Nichtunterzeichnung oder sein Veto zu entscheiden. SB 227 wird nach Kalifornien, Virginia und Colorado das vierte Datenschutzgesetz der USA.
SB 227 weist mehrere Ähnlichkeiten auf mit Virginias CDPA (VCDPA) und Colorados CPA (CPA). Beispielsweise legt der Gesetzentwurf einem betroffenen Unternehmen separate Verpflichtungen auf, je nachdem, ob das Unternehmen als Verantwortlicher oder Verarbeiter von Verbraucherdaten fungiert.
Der Gesetzentwurf würde für jeden Verantwortlichen oder Auftragsverarbeiter gelten, der in Utah geschäftlich tätig ist oder Verbraucherprodukte und/oder -dienstleistungen anbietet, die sich an Einwohner Utahs richten; der einen Jahresumsatz von $25.000.000 oder mehr hat; und der eine oder mehrere der folgenden Bedingungen erfüllt:
Kontrolliert oder verarbeitet die personenbezogenen Daten von 100.000 oder mehr Verbrauchern; oder
Erzielt über 50% seines Bruttoumsatzes aus dem Verkauf personenbezogener Daten und kontrolliert oder verarbeitet die personenbezogenen Daten von 25.000 oder mehr Verbrauchern.
Ausnahmen nach dem Utah-Gesetz
Der Gesetzentwurf würde nicht für staatliche Stellen, Mitarbeiterdaten, gemeinnützige Organisationen, Hochschulen, Stämme oder Unternehmen gelten, die unter HIPAA.
Ähnlich wie die Datenschutzgesetze verabschiedet In den anderen drei Staaten würde der Gesetzentwurf auch nicht für Informationen gelten, die durch das FCRA, die GLBA, oder HIPAA.
Einige weitere wichtige Punkte, die zu berücksichtigen sind, wenn die UCPA In Kraft tretende Gesetze sehen unter anderem vor:
- Geben Sie den Verbrauchern das Recht, auf ihre personenbezogenen Daten zuzugreifen, sie zu korrigieren oder zu löschen (mit einigen Ausnahmen) – sowie das Recht, bestimmten Verarbeitungsaktivitäten, wie etwa gezielter Werbung und dem Verkauf personenbezogener Daten, zu widersprechen.
- Den Begriff anwenden „sensible Daten“ auf die personenbezogenen Daten von Kindern (d. h. Minderjährigen unter 13 Jahren in Utah);
- Ermöglichen Sie einem Elternteil oder Erziehungsberechtigten eines Kindes, Verbraucherrechte in dessen Namen auszuüben.
- Weisen Sie dem Generalstaatsanwalt von Utah Durchsetzungsbefugnisse zu, anstatt den Verbrauchern ein privates Klagerecht zu gewähren, wie es in der bevorstehenden CPRA.
AG Durchsetzung des UCPA
Wie zuerst berichtet von IAPPEin Detail, das den UCPA von den Datenschutzgesetzen anderer Bundesstaaten unterscheidet, ist sein zweistufiges Verfahren zur Durchsetzung von Maßnahmen. Zunächst muss ein Verbraucher einen Antrag bei der Verbraucherschutzbehörde des Handelsministeriums von Utah einreichen. Die Behörde prüft dann die Rechtmäßigkeit des Antrags und genehmigt oder lehnt ihn auf Grundlage ihrer Ergebnisse ab.
Wenn die Abteilung dem Anspruch des Verbrauchers stattgibt, leitet sie ihn an die Generalstaatsanwaltschaft von Utah weiter, um zu entscheiden, ob ein Vollstreckungsverfahren gegen das Unternehmen eingeleitet wird. Der Generalstaatsanwalt muss das Unternehmen jedoch zunächst schriftlich benachrichtigen und ihm eine Frist von 30 Tagen zur Behebung des Verstoßes einräumen. Erst wenn das Unternehmen den Verstoß nicht behebt, kann der Generalstaatsanwalt ein Vollstreckungsverfahren gegen das Unternehmen einleiten.
Wenn das UCPA in Kraft tritt, tritt es am 31. Dezember 2023 in Kraft. Mit Hilfe von BigID erfüllen Kunden die Compliance-Anforderungen des UCPA — wie etwa die Unterbringung und Automatisierung von Anfragen betroffener Personen, Bereitstellung von Sicherheits- und Schutzmaßnahmen für sensible Verbraucherdaten, die Erfüllung von Opt-out-Anfragen für den Verkauf personenbezogener Daten oder Verarbeitungstätigkeiten im Zusammenhang mit gezielter Werbung und bietet Unternehmen die richtigen Tools, um zu verstehen, warum und wie sie die personenbezogenen Daten verwenden, die sie von Verbrauchern sammeln. Erfahren Sie mehr – und Holen Sie sich eine 1:1-Demo von BigID.