Ustawa o powstrzymaniu hakerów i poprawie bezpieczeństwa danych elektronicznych (SHIELD Act)

Jakie jest znaczenie tego prawa?

Ustawa SHIELD, podpisana 25 lipca 2019 r. przez gubernatora Andrew Cuomo, zmienia nowojorską ustawę z 2005 r. o naruszeniach bezpieczeństwa informacji i powiadamianiu o nich. Ustawa SHIELD znacząco wzmacnia nowojorskie przepisy dotyczące bezpieczeństwa danych poprzez:

  • rozszerzenie rodzajów prywatnych informacji, w odniesieniu do których firmy muszą powiadomić konsumentów w przypadku naruszenia
  • wymaganie od firm opracowania, wdrożenia i utrzymywania rozsądnych zabezpieczeń w celu ochrony bezpieczeństwa, poufności i integralności prywatnych informacji

Jakie rodzaje naruszeń bezpieczeństwa są objęte tym prawem?

Zgodnie z ustawą z 2005 roku, naruszenie bezpieczeństwa jest definiowane jako nieautoryzowane pozyskanie danych komputerowych, które zagraża bezpieczeństwu, poufności lub integralności prywatnych informacji. Ustawa SHIELD rozszerza definicję naruszenia bezpieczeństwa na każdy dostęp "" do danych komputerowych, który zagraża poufności, bezpieczeństwu lub integralności prywatnych danych.

Z czego składa się informacja prywatna?

Zgodnie z ustawą z 2005 r. informacje prywatne stanowiły wszelkie dane osobowe dotyczące osoby fizycznej w połączeniu z jednym lub większą liczbą następujących elementów danych w połączeniu z dowolnym wymaganym kodem bezpieczeństwa:

  • Numer ubezpieczenia społecznego
  • numer prawa jazdy
  • numer konta

Ustawa SHIELD rozszerza prawo o informacje biometryczne, nazwę użytkownika lub adres e-mail oraz dane uwierzytelniające hasło.

Jakie zabezpieczenia są zawarte w ustawie SHIELD?

Ustawa SHIELD wymaga od każdej osoby lub firmy, która przechowuje prywatne informacje, przyjęcia administracyjnych, technicznych i fizycznych zabezpieczeń. Ustawa wymienia pewne zabezpieczenia, ale nie jest to wyczerpująca lista.

Rozsądne zabezpieczenia administracyjne obejmują:

  • wyznaczenie jednego lub więcej pracowników do koordynowania programu bezpieczeństwa
  • identyfikacja racjonalnie przewidywalnego ryzyka wewnętrznego i zewnętrznego
  • ocena skuteczności zabezpieczeń stosowanych w celu kontroli zidentyfikowanego ryzyka
  • szkolenie i zarządzanie pracownikami w zakresie praktyk i procedur programu bezpieczeństwa
  • wybór dostawców usług zdolnych do utrzymania odpowiednich zabezpieczeń i wymaganie tych zabezpieczeń w umowie
  • dostosowanie programu bezpieczeństwa w świetle zmian biznesowych lub nowych okoliczności

Rozsądne zabezpieczenia techniczne obejmują:

  • ocena ryzyka w projektowaniu sieci i oprogramowania
  • ocena ryzyka związanego z przetwarzaniem, przesyłaniem i przechowywaniem informacji
  • wykrywanie, zapobieganie i reagowanie na ataki lub awarie systemu
  • regularne testowanie i monitorowanie skuteczności kluczowych kontroli, systemów i procedur

Rozsądne zabezpieczenia fizyczne obejmują:

  • ocena ryzyka związanego z przechowywaniem i usuwaniem informacji
  • wykrywanie włamań, zapobieganie im i reagowanie na nie
  • ochrona przed nieuprawnionym dostępem do prywatnych informacji lub ich wykorzystaniem w trakcie lub po zebraniu, przetransportowaniu, zniszczeniu lub usunięciu informacji
  • pozbywanie się prywatnych informacji w rozsądnym czasie po tym, jak nie są już potrzebne do celów biznesowych, poprzez usuwanie nośników elektronicznych, tak aby informacje nie mogły zostać odczytane ani odtworzone

Jakie są obowiązki przedsiębiorców, gdy dojdzie do naruszenia?

Prawo wymaga, aby osoba lub firma powiadomiła poszkodowanych konsumentów po wykryciu naruszenia bezpieczeństwa jej komputerowego systemu danych, które ma wpływ na prywatne informacje. Ujawnienie musi nastąpić w możliwie najkrótszym czasie, zgodnie z uzasadnionymi potrzebami organów ścigania. Chociaż prawo wymaga powiadomienia Biura Prokuratora Generalnego Stanu Nowy Jork (OAG), Departamentu Stanu Nowego Jorku i policji stanowej Nowego Jorku o czasie, treści i sposobie rozpowszechnienia powiadomień, a także przybliżonej liczbie osób, których dotyczą, przesłanie formularza naruszenia za pośrednictwem portalu zgłaszania naruszeń danych OAG jest wystarczające, ponieważ informacje są automatycznie wysyłane do wszystkich trzech podmiotów zajmujących się raportowaniem kredytowym wymienionych poniżej.

Equifax

P.O. Box 105788
Atlanta GA 30348
1-800-349-9960
www.equifax.com

Experian

Pomoc w przypadku oszustw konsumenckich
P.O. Box 9554
Allen TX 75013
1-888-397-3742
www.experian.com

TransUnion

P.O. Box 2000
Chester PA 19016-2000
1-800-909-8872
www.transunion.com

Jeśli jesteś konsumentem dotkniętym naruszeniem, złóż skargę. Nie przesyłaj powiadomienia o naruszeniu.

Czy są jakieś wyjątki od wymogów zgłoszenia?

Ustawa przewiduje również możliwość zastępczego powiadomienia konsumentów, jeżeli przedsiębiorca wykaże przed Biurem Prokuratora Generalnego Stanu Nowy Jork, że:

  • koszt regularnego powiadamiania przekroczyłby 250 000 USD
  • dotknięta grupa osób przekracza 500 000
  • podmiot lub firma nie posiada wystarczających informacji kontaktowych

W przypadku zastosowania powiadomienia zastępczego, musi ono zawierać wszystkie poniższe elementy, w zależności od przypadku:

  • powiadomienie e-mail
  • wyraźne zamieszczenie na stronie internetowej podmiotu
  • powiadomienie mediów ogólnokrajowych

Ponadto prawo nie wymaga powiadamiania konsumentów, jeśli:

  • ujawnienie prywatnych informacji było niezamierzonym ujawnieniem przez osoby upoważnione do dostępu do prywatnych informacji
  • dana osoba lub firma zasadnie stwierdzi, że takie narażenie prawdopodobnie nie spowoduje niewłaściwego wykorzystania takich informacji lub szkód finansowych dla osób, których to dotyczy, lub szkód emocjonalnych w przypadku nieznanego ujawnienia danych uwierzytelniających online

Takie ustalenie musi być udokumentowane na piśmie i przechowywane przez co najmniej pięć lat. Jeśli incydent dotyczy ponad 500 mieszkańców Nowego Jorku, osoba lub firma musi dostarczyć pisemne ustalenie prokuratorowi generalnemu w ciągu 10 dni od ustalenia.

Jakie są kary za naruszenie ustawy SHIELD?

Zgodnie z ustawą SHIELD, Prokurator Generalny może domagać się zadośćuczynienia w drodze nakazu sądowego, zwrotu kosztów i kar przeciwko każdemu podmiotowi gospodarczemu za naruszenie prawa. W przypadku niedostarczenia powiadomienia na czas, sąd może nałożyć karę cywilną w wysokości do 20 USD za każdy przypadek niedostarczenia powiadomienia, nieprzekraczającą 250 000 USD. Za niezachowanie odpowiednich zabezpieczeń sąd może nałożyć karę cywilną w wysokości do 5000 USD za każde naruszenie.