Florida Digital Bill of Rights (FDBR), også kendt som SB 262, er opstået som et vigtigt stykke lovgivning for virksomheder, der driver forretning inden for Floridas grænser.
Indvarsler en ny æra af digitale privatlivsstandarder – og med vigtigheden af at sikre forbrugernes personlige data mere presserende end nogensinde – Floridas indsats på dette område er både rettidig og afgørende.
Den voksende tendens til databeskyttelseslovgivning i USA
Floridas FDBR er ikke en isoleret indsats. Mellem marts og juni 2023 tog stater, herunder Iowa, Indiana, Tennessee, Montana, Florida og Texas, dristige skridt ved at vedtage deres individuelle databeskyttelseslove. Florida er den tiende stat, der vedtager en sådan lov, og den femte af seks, der gør det i 2023, hvilket indikerer en bølge af ændringer i det nationale perspektiv på databeskyttelse.
I modsætning til de tidligere etablerede statslove introducerer Floridas FDBR imidlertid unikke elementer, der primært fokuserer på beskyttelse af børn, sociale medier og de udviklende teknologiområder. Især ser loven ud til at sætte tech-giganter i sigtekornet, hvilket afspejler en bredere bekymring over deres indflydelse og datapraksis.
Udforskning af Floridas digitale rettighedserklæring
Formål og anvendelsesområde
FDBR beskytter de digitale rettigheder for over 21 millioner floridianere. Det pålægger specifikt ansvar for virksomheder, der opererer i Florida, især dem, der håndterer personlige oplysninger om statens beboere. Lovgivningen lægger øget kontrol på store teknologivirksomheder, nyere forbrugerteknologier og det omsiggribende område af sociale medier.
Hvem er en "forbruger" i Florida?
Floridas definition stemmer overens med de fleste stater og identificerer en forbruger som enhver beboer eller person i staten, der handler uden for en kommerciel eller beskæftigelsesmæssig sammenhæng.
Opt-out-modellen
I lighed med andre amerikanske privatlivsbestemmelser vedtager FDBR en opt-out-model. I modsætning til opt-in-modeller, som kræver forudgående samtykke fra brugerne, før de indsamler eller behandler data, pålægger opt-out-tilgangen virksomheder at informere forbrugerne om deres datapraksis og give dem mulighed for at afvise deltagelse.
Organisationer skal specifikt oplyse:
- Arten af de indsamlede data
- Formålene bag indsamlingen
- Tredjeparts tilknytninger
- Metoder for forbrugerne til at fravælge, især fra datasalg, målrettet reklame eller profilering.
Desuden skal virksomheder indhente forudgående samtykke til specifikke datakategorier (navnlig følsomme data eller oplysninger vedrørende mindreårige).
En slående forskel i Floridas lov ligger i dens udvidede definition af "barn". I modsætning til de fleste stater, der sætter aldersgrænsen til 13, forstærker Florida sin beskyttelse til at omfatte personer under 18 år.
Dissekering af definitioner i FDBR
Personlige oplysninger vs. personlige data
Loven indeholder forskellige definitioner af disse udtryk. Navnlig omfatter “personoplysninger” oplysninger, der er knyttet til et barn, herunder unikke identifikatorer som biometriske data.
Derudover tilbyder loven en mere indviklet definition af personoplysninger end de fleste amerikanske love om privatlivets fred, da den understreger vigtigheden af pseudonyme data – især når de kombineres med andre oplysninger for at identificere en person.
Udvidelse og udvidelse af Florida Information Protection Act (FIPA)
Siden 2014 har Florida haft FIPA , der dækker data som CPR-numre, økonomiske detaljer og kontaktoplysninger. FDBR udvider denne definition og afspejler det skiftende teknologiske landskab ved at inkludere data som biometriske oplysninger og geolokaliseringsoplysninger.
Samtykke i Floridas digitale verden
Florida følger i fodsporene på EU’s GDPR og giver en streng definition af samtykke og understreger, at det skal være “frit givet, specifikt, informeret og utvetydigt.”
Desuden tilpasser FDBR sig til andre statslige love som Montanas Consumer Data Privacy Act, hvilket sikrer, at samtykke ikke i det skjulte erhverves gennem vildledende design eller ‘mørke mønstre’.
Når det kommer til data
FDBR giver en omfattende klassificering af datatyper, lige fra følsomme data til dataansvarlige og databehandlere. Det er vigtigt, at definitionen af “controller” i Floridas lov er mere udtømmende end de fleste: Den indeholder adskillige krav, hvor overholdelsestærskler er et fremtrædende aspekt.
FDBR's anvendelsesområde
Hvem skal overholde reglerne?
Loven er særlig streng for virksomheder, der opererer i Florida eller målretter mod dens beboere.
Unikt for Florida skal virksomheder opfylde en indtægtsgrænse på over US $ 1 milliard, drastisk højere end andre stater som Californien, der ligger på US $ 25 millioner. Denne høje tærskel indebærer, at Florida primært fokuserer på de teknologiske giganter, da kun en brøkdel af virksomheder, der i øjeblikket opererer i Florida, overstiger denne indtægtsmarkør, hvilket indsnævrer overholdelsesnettet.
Desuden ser specifikke kriterier ud til at være målrettet mod teknologigiganter, der er kendt for onlineannoncesalg, smarte højttalere og appbutikker – som Apple og Google.
Undtagelser og udelukkelser
Ligesom andre databeskyttelseslove respekterer Floridas FDBR føderale love som HIPAA, COPPA og Fair Credit Reporting Act. Der gives forskellige undtagelser, herunder HR-data, sundhedsjournaler, forskningsdata og data under føderalt ansvarsområde.
Enheder som statslige agenturer, finansielle institutioner, forsikringsselskaber, postsekundære uddannelsesinstitutioner og nonprofitorganisationer nyder også fritagelsesstatus.
Konklusion
Floridas Digital Bill of Rights markerer et betydeligt spring i de igangværende bestræbelser på at beskytte forbrugerdata. Mens dets fokus på store teknologiske enheder og beskyttelse af børn adskiller det, legemliggør det den bredere bevægelse for at etablere robuste digitale privatlivsrammer i hele USA.
Når ikrafttrædelsesdatoen den 1. juli 2024 nærmer sig, skal organisationer geare op for at tilpasse sig FDBRs bestemmelser og sikre, at Floridians digitale rettigheder opretholdes korrekt.