Den 18. juni dukkede en ny stjerne op i den amerikanske databeskyttelseskonstellation: Texas indtog stolt sin plads som den ellevte stat til at kæmpe for forbrugernes privatlivsrettigheder ved at vedtage Texas Data Privacy and Security Act (TDPSA) med blæktørring på HB 4.
ountdown er begyndt, med TDPSA sat til at træde i kraft den 1. juli 2024 – samme dag som dens floridianske modstykke, Florida Digital Bill of Rights.
En introduktion til Texas Data Privacy and Security Act
TDPSA beskytter privatlivets fred og personlige datarettigheder for over 31 millioner texanere. Men det, der adskiller det fra andre databeskyttelseslovgivninger på statsniveau i USA, er dets unikke sprog og anvendelse.
Mens de fleste love af sin art fokuserer på varer eller tjenester, der “målrettes” mod statens beboere, kan TDPSA’s udtryk “forbrugt” være dets mest kendetegnende træk. Dette ejendommelige valg af ordsprog kan potentielt udvide sit anvendelsesområde til virksomheder uden for staten, der beskæftiger sig med texanere, hvilket sikrer, at de overholder TDPSA eller på anden måde udelukker Texas-beboere fra deres kundekreds, hvis de ikke overholder tilsvarende regler.
Organisationer under TDPSA-paraplyen
Enhver virksomhed, der behandler forbrugernes personlige oplysninger, påvirkes af loven. Texas definerer en forbruger ikke kun som enhver beboer, men specifikt som en, der handler i en individuel eller husstandskapacitet – eksklusive kommercielle eller beskæftigelsesmæssige sammenhænge.
Som sådan er det afgørende for disse organisationer at informere deres forbrugere om de forskellige dataindsamlings- og behandlingsaktiviteter, de perfektionerer, hvilket inkluderer klarhed om arten af de indsamlede data, deres tilsigtede anvendelse og potentiel tredjepartsdeling.
Opt-out-modellen
TDPSA bruger en opt-out-model, der ligner flere andre stater, der har indført omfattende databeskyttelsesregler. Dette giver virksomhederne mandat til at tilbyde forbrugerne en klar vej til at afvise dataindsamling og -behandling.
Ved siden af dette skal både virksomhederne og deres tredjepartspartnere håndhæve rimelige datasikkerhedsforanstaltninger og sikkerhedsforanstaltninger.
Centrale definitioner i henhold til TDPSA
Persondata: TDPSA følger en konventionel tilgang til definition af personoplysninger. Det omfatter alle oplysninger, følsomme eller på anden måde, der kan linkes (eller kan linkes) til en identificerbar person.
Selvom loven ikke indeholder nogen specifikke eksempler, falder traditionelle detaljer som navne, telefonnumre, IP-adresser og CPR-numre ind under denne kategori.
Samtykke: Med inspiration fra EU’s GDPR definerer TDPSA samtykke som en klar og umiskendelig handling, der angiver en forbrugers frivillige samtykke til at behandle deres personoplysninger.
Dette kan være i form af skriftlige erklæringer eller andre åbenlyse bekræftende handlinger. Loven adskiller sig imidlertid fra mange andre ved at udelukke visse specifikke tilfælde – som accept af brede brugsbetingelser – fra at kvalificere sig som gyldigt samtykke.
Følsomme oplysninger: Denne kategori er forbeholdt personlige oplysninger, der, hvis de håndteres forkert, kan resultere i betydelig skade. Dette omfatter data, der afslører racemæssig eller etnisk oprindelse, religiøs overbevisning, sundhedsdiagnoser, seksualitet, statsborgerskabsstatus, genetiske eller biometriske data, oplysninger fra børn under 13 år og præcise geolokaliseringsdata.
Controller og processor: Virksomheder, der dikterer måden og formålet med behandlingen af personoplysninger, kaldes “dataansvarlige”. I mellemtiden kaldes tredjepartsenheder, der håndterer data på vegne af disse virksomheder, “processorer”.
Salg: Dette defineres som overførsel eller videregivelse af personoplysninger til materielle eller andre værdifulde gevinster. Der er dog flere undtagelser: som deling af data for ønsket produkt-/servicelevering eller som en del af fusioner.
Målrettet annoncering: Dette refererer til annoncer, der er kurateret baseret på en forbrugers data (indsamlet over tid på tværs af forskellige platforme), som har til formål at forudsige forbrugernes præferencer.
Undtagelser fra TDPSA
Texas tilpasser sig eksisterende amerikanske databeskyttelseslove ved at give visse undtagelser, hovedsageligt anerkendelse af føderale love som HIPAA, COPPA og FCRA, for at nævne nogle få.
Loven udelukker også data vedrørende menneskelige forskningsemner, HR, helbredsjournaler og ansættelsesformål. Derudover er enheder som statslige myndigheder, videregående uddannelsesinstitutioner, forsikringsselskaber, finansielle institutioner, elværker og nonprofitorganisationer blandt dem, der er fritaget.
Forbrugerrettigheder i henhold til TDPSA
Texanske forbrugere kan udøve flere rettigheder i henhold til denne lov:
Ret til indsigt
Dette giver forbrugerne mulighed for at kontrollere, om en dataansvarlig behandler deres data og få adgang til dem.
Ret til berigtigelse
Forbrugerne kan rette eventuelle unøjagtige eller forældede oplysninger.
Ret til sletning
Forbrugerne kan bede den dataansvarlige om at slette deres personoplysninger, bortset fra visse undtagelser.
Ret til portabilitet
Dette sikrer, at forbrugerne kan hente deres data i et brugbart format.
Ret til ikke-forskelsbehandling
Dataansvarlige kan ikke unødigt forskelsbehandle forbrugere for at gøre deres rettigheder gældende.
Ret til fravalg
Dette omfatter faldende salg af personoplysninger, målrettede annoncer eller væsentlig beslutningstagning baseret på profilering.
Forældre eller værger kan også repræsentere børn under 13 år. Især giver TDPSA i modsætning til Californiens lov ikke forbrugerne ret til at indlede retssager mod databehandlere.
Konklusion
Texas Data Privacy and Security Act viser Texas’ forpligtelse til at afbalancere de teknologiske og økonomiske fremskridt i den digitale tidsalder med borgernes privatlivsrettigheder.
Med sit unikke sprog og brede implikationer er TDPSA et vidnesbyrd om det skiftende landskab af databeskyttelseslove i USA. Efterhånden som den digitale verden fortsætter med at ekspandere, vil vigtigheden af disse regler også tilbyde en plan for andre stater, der overvejer lignende foranstaltninger.