Σε όλες τις ΗΠΑ, υπάρχουν νόμοι και κανονισμοί που απαιτούν από εταιρείες και οργανισμούς να προστατεύουν τις πληροφορίες των καταναλωτών. Εάν εργάζεστε σε μια επιχείρηση, γραφείο ή ιατρείο που συλλέγει προσωπικά στοιχεία ταυτοποίησης (PII), όπως αριθμούς τηλεφώνου, διευθύνσεις, ημερομηνίες γέννησης, SSN κ.λπ., είστε υπεύθυνοι για αυτά τα δεδομένα και πρέπει να τα διατηρήσετε ιδιωτικά.
Όταν έχετε ηλεκτρονικά είδη που αποθηκεύουν οποιοδήποτε από αυτά τα δεδομένα και πρόκειται να μεταπωληθούν ή να ανακυκλωθούν, η καταστροφή δεδομένων είναι απαραίτητη. Η μη συμμόρφωση με τους ομοσπονδιακούς και τοπικούς νόμους μπορεί να οδηγήσει σε βαριά πρόστιμα, κυρώσεις, νομικές αμοιβές και διακανονισμούς ομαδικών αγωγών. Πρέπει να γνωρίζετε τις ευθύνες σας όταν πρόκειται για PII.
Τι είναι το άρθρο 17 του GDPR;
Το άρθρο 17 του Γενικού Κανονισμού για την Προστασία Δεδομένων καλύπτει το «Δικαίωμα διαγραφής» του καταναλωτή. Οι εταιρείες πρέπει να διαγράφουν προσωπικά δεδομένα χωρίς καθυστέρηση όταν πληρούνται ένας ή περισσότεροι από αυτούς τους όρους:
- Τα προσωπικά δεδομένα δεν συλλέχθηκαν ή υποβλήθηκαν σε επεξεργασία νομίμως.
- Τα προσωπικά δεδομένα πρέπει να διαγραφούν για να πληρούνται οι ομοσπονδιακοί ή πολιτειακοί νόμοι.
- Τα προσωπικά δεδομένα δεν είναι πλέον απαραίτητα για τον αρχικό λόγο που συλλέχθηκαν και υποβλήθηκαν σε επεξεργασία.
- Ο καταναλωτής αποσύρει τη συγκατάθεσή του να το αποθηκεύσει ή αντιτίθεται σε εσάς εάν συνεχίσετε να το αποθηκεύετε ή να το επεξεργάζεστε.
- Ένα ανήλικο παιδί φτάνει στην ηλικία όπου ο γονέας ή ο κηδεμόνας δεν λαμβάνει πλέον αυτές τις αποφάσεις και το παιδί θέλει να αφαιρεθούν οι πληροφορίες.
Υπάρχουν μερικοί επιπλέον κανόνες που πρέπει να λάβετε υπόψη. Εάν αποθηκεύετε PII για την υπεράσπιση μιας νομικής αξίωσης, μπορείτε να συνεχίσετε να το κάνετε μέχρι να διευθετηθεί η νομική υπόθεση. Εάν πρέπει να μεταφέρετε PII σε άλλη χώρα ή διεθνή οργανισμό, πρέπει να βεβαιωθείτε ότι οι πληροφορίες υποβάλλονται σε επεξεργασία και αποθηκεύονται με τρόπους που ακολουθούν τους νόμους των ΗΠΑ. Τέλος, κάθε PII που συλλέγετε και αποθηκεύετε πρέπει να είναι προσβάσιμο στον καταναλωτή. Εάν ζητήσουν να δουν τι αποθηκεύετε, πρέπει να έχετε τα βήματα που μπορούν να ακολουθήσουν για να αποκτήσουν πρόσβαση σε αυτό.
Άλλοι νόμοι περί απορρήτου δεδομένων που πρέπει να έχετε κατά νου
Αυτές είναι οι απαιτήσεις βάσει του GDPR. Πέντε πολιτείες έχουν πρόσθετους κανόνες που πρέπει να ακολουθείτε κατά την αποθήκευση και την επεξεργασία PII.
Ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA)
Ο Αστικός Κώδικας της Καλιφόρνια §§ 1798.100 είναι γνωστός ως CCPA. Από το 2018, οι καταναλωτές είχαν το δικαίωμα να ρωτήσουν τι PII αποθηκεύεται και γιατί η επιχείρηση έχει συλλέξει αυτές τις πληροφορίες. Εάν ζητήσουν τη διαγραφή των PII, η εταιρεία ή ο οργανισμός πρέπει να συμμορφωθεί. Δεν επιτρέπεται στις επιχειρήσεις να κάνουν διακρίσεις σε βάρος των κατοίκων της Καλιφόρνια που εξαιρούνται.
Από την 1η Ιανουαρίου 2023, η Καλιφόρνια πρόσθεσε επίσης τον Νόμο για τα δικαιώματα των καταναλωτών της Καλιφόρνια. Η πρόταση 24 επιτρέπει στους καταναλωτές να εμποδίζουν τις εταιρείες να μοιράζονται PII και να περιορίζουν τη χρήση ευαίσθητων PII όπως σεξουαλικό προσανατολισμό, θρησκεία, φυλή, γεωγραφική τοποθεσία, γενετικά δεδομένα, ιδιωτικά μηνύματα και συγκεκριμένες ιατρικές πληροφορίες. Οι επιχειρήσεις δεν μπορούν να διατηρήσουν PII για περισσότερο από όσο χρειάζεται και οι παραβάσεις αυξάνονται κατά 3 φορές εάν ο καταναλωτής είναι μικρότερος των 16 ετών.
Ο νόμος περί απορρήτου του Κολοράντο, μέρος του νόμου περί προστασίας των καταναλωτών του Κολοράντο
Ο νόμος περί απορρήτου του Κολοράντο αποτελεί μέρος του νόμου περί προστασίας των καταναλωτών του Κολοράντο που τέθηκε σε ισχύ την 1η Ιουλίου 2023. Επιβάλλει την ευθύνη μιας εταιρείας για την προστασία των PII και επιτρέπει στον γενικό εισαγγελέα ή τον εισαγγελέα της περιφέρειας να λάβει μέτρα εάν υπάρχουν παραβιάσεις.
Νόμος περί απορρήτου και διαδικτυακής παρακολούθησης προσωπικών δεδομένων του Κονέκτικατ
Το 2022 SB 6 του Κονέκτικατ τέθηκε σε ισχύ την 1η Ιουλίου 2023. Απαιτεί από τις επιχειρήσεις και τους οργανισμούς να αποθηκεύουν και να επεξεργάζονται PII σύμφωνα με τα πρότυπα απορρήτου. Οι καταναλωτές έχουν το δικαίωμα να έχουν πρόσβαση, να διορθώνουν, να διαγράφουν και να ζητούν αντίγραφο οποιουδήποτε PII που είναι αποθηκευμένο. Έχουν επίσης το δικαίωμα να εξαιρεθούν.
Ο νόμος περί φορητότητας και λογοδοσίας ασφάλισης υγείας (HIPAA)
Η HIPAA χρονολογείται από το 1996 και περιλαμβάνει τη βιομηχανία υγείας. Πάροχοι υγειονομικής περίθαλψης, ασφαλιστές υγείας, οδοντιατρικής, όρασης και συνταγογραφούμενων φαρμάκων, συμπεριλαμβανομένων των HMOs, Medicare/Medicaid, ασφαλιστών μακροχρόνιας περίθαλψης και προγραμμάτων υγείας που χρηματοδοτούνται από την εκκλησία, τους εργοδότες και την κυβέρνηση. Οποιεσδήποτε προσωπικές πληροφορίες υγείας (PHI) πρέπει να προστατεύονται και να είναι προσβάσιμες μόνο στον ασθενή, τον αντισυμβαλλόμενο ή το άτομο που παρέχεται με την άδεια του συγκεκριμένου ασθενούς.
Σε ορισμένες συνθήκες, το PHI μπορεί να κοινοποιηθεί χωρίς την άδεια του ατόμου. Αυτό περιλαμβάνει όταν απαιτείται νομικά από τις αρχές επιβολής του νόμου ή για διοικητικές ή δικαστικές διαδικασίες. Μπορεί να κοινοποιηθεί όταν περιλαμβάνει δωρεές δημόσιας υγείας, ιστών, οργάνων ή ματιών, αξιώσεις εργαζομένων, θύματα κακοποίησης ή παραμέλησης ή για τον εντοπισμό αποθανόντων.
Οι γιατροί και οι πρακτικές υγειονομικής περίθαλψης πρέπει να προστατεύουν το PHI από απειλές για την ασφάλεια. Μόνο άτομα με άδεια HIPAA ή το άτομο μπορούν να έχουν πρόσβαση σε αυτές τις πληροφορίες. Το Γραφείο Πολιτικών Δικαιωμάτων του HHS επιβάλλει αυτούς τους κανόνες.
Το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Καρτών Πληρωμής (PCI DSS)
Το PCI DSS είναι ένας κανόνας ασφαλείας που ισχύει για κάθε επιχείρηση που επεξεργάζεται ή αποθηκεύει πληροφορίες κατόχου κάρτας. Ο στόχος είναι να μειωθεί η απάτη σε μετρητά, πιστωτικές και χρεωστικές κάρτες. Δημιουργήθηκε το 2004 από την American Express, Discover, JCB, MasterCard και Visa. Υπάρχουν έξι αρχές για το PCI DSS.
- Δημιουργήστε και διατηρήστε ένα ασφαλές δίκτυο και σύστημα υποδομής.
- Να παρακολουθείτε και να δοκιμάζετε τακτικά την υποδομή.
- Προστατέψτε τα PII ενός κατόχου κάρτας.
- Χρησιμοποιήστε προγράμματα αξιολόγησης κινδύνου και διαχείρισης ευπάθειας.
- Χρησιμοποιήστε ισχυρά μέτρα ελέγχου πρόσβασης.
- Διατηρήστε και ακολουθήστε αυστηρά πρωτόκολλα ασφαλείας.
Η καλύτερη πρακτική είναι να καταστρέφετε τυχόν δεδομένα κατόχου κάρτας και PII που δεν είναι απαραίτητα. Η καταστροφή δεδομένων πρώην κατόχων καρτών είναι απαραίτητη.
Ο νόμος περί απορρήτου των καταναλωτών της Γιούτα
Αν και ο νόμος περί απορρήτου των καταναλωτών της Γιούτα δεν έχει τεθεί ακόμη σε ισχύ, έρχεται στο τέλος του έτους. Από τις 31 Δεκεμβρίου 2023, οι επιχειρήσεις πρέπει να μοιράζονται τον τρόπο με τον οποίο συλλέγουν και χρησιμοποιούν PII και εάν τα πωλούν σε άλλες εταιρείες. Οι κάτοικοι της Γιούτα έχουν το δικαίωμα να εξαιρεθούν από την πώληση των πληροφοριών τους και να ζητήσουν τη διαγραφή PII. Εάν μια επιχείρηση δεν συμμορφώνεται, ο γενικός εισαγγελέας μπορεί να λάβει μέτρα και να επιβάλει πρόστιμο στους παραβάτες.
Ο νόμος περί προστασίας δεδομένων καταναλωτών της Βιρτζίνια
Τέλος, ο νόμος περί προστασίας δεδομένων καταναλωτών της Βιρτζίνια απαιτεί από τις επιχειρήσεις με PII τουλάχιστον 100.000 καταναλωτών ή που λαμβάνουν περισσότερο από το 50% των εσόδων τους από την πώληση τουλάχιστον 25.000 PII καταναλωτών να ακολουθούν συγκεκριμένους κανόνες για τη συλλογή και τη χρήση PII. Οι καταναλωτές μπορούν να εξαιρεθούν από τη χρήση PII τους για στοχευμένη διαφήμιση.
Πώς διασφαλίζετε ότι η καταστροφή δεδομένων έχει ολοκληρωθεί σωστά;
Πώς διασφαλίζετε ότι τα δεδομένα καταστρέφονται σωστά; Συνεργαστείτε με έναν επαγγελματία της ITAD. Εάν ανακυκλώνετε ή πουλάτε μεταχειρισμένα ηλεκτρονικά είδη που δεν είναι πλέον απαραίτητα για την επιχείρηση, το γραφείο ή τον οργανισμό σας, πρέπει να καταστρέψετε δεδομένα. Αυτή δεν είναι μια διαδικασία για όλους.
Οι περισσότεροι άνθρωποι πιστεύουν ότι η επαναφορά εργοστασιακών ρυθμίσεων είναι αρκετή για να καταστρέψει τα δεδομένα. Δεν είναι. Διαγράφει τις διαδρομές μεταξύ ενός προγράμματος και των πληροφοριών που έχετε αποθηκεύσει, αλλά δεν καταστρέφει τα δεδομένα. Τα προγράμματα που ξαναγράφουν δυαδικό κώδικα ξανά και ξανά είναι ένας τρόπος για να καταστρέψετε δεδομένα. Η χρήση μαγνητών (απομαδοποίηση) καταστρέφει δεδομένα σε μαγνητικούς δίσκους και ταινίες.
Όμως, ο καλύτερος τρόπος για να καταστρέψετε δεδομένα είναι να πάρετε τους σκληρούς δίσκους και να τους τεμαχίσετε. Αν τεμαχιστούν σε μικροσκοπικά θραύσματα, δεν υπάρχει τρόπος να τα ξανασυνθέσετε και να έχετε τις πληροφορίες ανακτήσιμες. Ο τεμαχισμός ηλεκτρονικών συσκευών είναι ο καλύτερος τρόπος για να καταστρέψετε δεδομένα και να διασφαλίσετε ότι τα PII δεν θα καταλήξουν σε λάθος χέρια.
Η ERI είναι ειδικός της ITAD που μπορεί να διασφαλίσει ότι τα προϊόντα σας περνούν από αυστηρές μεθόδους καταστροφής δεδομένων που διασφαλίζουν ότι συμμορφώνεστε με τους κρατικούς και ομοσπονδιακούς κανονισμούς. Μπορούμε να καταστρέψουμε δεδομένα στον ιστότοπό σας ή σε μία από τις εγκαταστάσεις μας. Ανεξάρτητα από το πού πραγματοποιείται η καταστροφή δεδομένων, η ERI σάς παρέχει ένα πιστοποιητικό καταστροφής που μπορείτε να κρατήσετε στα αρχεία σας ως απόδειξη ότι ακολουθήσατε διαδικασίες. Επικοινωνήστε μαζί μας για να μάθετε περισσότερα σχετικά με την ηλεκτρονική ανακύκλωση και την καταστροφή δεδομένων.
