越来越多的生物识别数据保护法及其对N.J.企业的影响

个人信息一直是数据矿工,聚合器和营销公司的宝库。数据在美国的大型企业刮擦,捆绑,重新包装和转售的实践。然而,越来越多的州开始规范和限制该收集和转售个人信息 - 特别是在该信息包括生物识别数据的情况下。

背景

所有50个州都有自己的违约通知法规;而且,当Solarwinds orion数据违规行为导致国会遭到国家违规通知法,如果新泽西州的业务遭受损害新泽西州只有新泽西居民,业务的个人信息将有一个不仅对国家的报告义务,而是对受影响的人。并且未能及时通知违规会触发罚款。如果同一业务经历了违反多个国家个人个人的个人数据的违约,则该实体需要及时通知若干国家的机构和受影响的个人,每个司法管辖区都有自己的及时定义。

此外,如果同一业务拥有纽约居民的员工和客户,那么根据纽约盾牌法案,该业务已经有肯定的责任采取合理措施来保护其维护和流程的个人信息。否则可能会导致监管机构的罚款,无论是否发生了违规行为。

纽约生物鉴定隐私法案在地平线上行动

现在,纽约希望遵循伊利诺伊州,华盛顿州,德克萨斯州,阿肯色州和加利福尼亚州的拟议生物识别隐私法案 - 纽约BPA - 这将在收集有关员工或客户的任何生物信息之前,我们需要一项业务来发出通知在该集合之前的同意,而不是在没有人同意的情况下销售该信息。与纽约盾牌不同,该立法草案将负担受影响的个人 私人行动原因 违反违规行为。为了“仅仅是”疏忽,损害赔偿金额为1000美元或实际损害(以较大者为准)加上律师费;而且,对于故意违规,罚款可以高达5,000美元或实际损害(再次,以较大的加号律师费用)。

考虑在Facebook诉讼中宣布的定居点为6.5亿美元,以便在伊利诺伊州的生物信息隐私法下解决待定的诉讼。授予,许多企业不会保持与Facebook的相同数量的数据,但那些同样的企业不太可能天气仅为1%的数字奖励。

少数企业只在一个管辖范围内运作,而最近的远程工作人员,只有在新泽西州的办事处的企业可能已经受到多个司法管辖区的数据泄露通知法,并有几个司法管辖区的主动立法,需要合理措施保护所处理的个人信息或代表业务。

业务的提示和积极主动措施

在此上下文中“处理”应广泛地解释为包括收集,存储,访问,管理,共享,销售,传输,传输和删除个人信息。企业还必须考虑他们用于处理个人信息的第三方供应商。正如我们在过去的几周内阅读,联邦机构,会计和律师事务所,零售商,医疗保健提供者和餐馆都是由于自己的做法或其第三方供应商的数据违规的受害者。

主动措施应包括但不限于:

  • 通过和实施信息安全计划;
  • 库存数据和资产“处理”数据;
  • 承担风险评估,确定漏洞,采取措施减轻和/或修复这些漏洞;
  • 部署技术以防止和检测妥协;
  • 培训人员;
  • 保护个人信息的安全物理位置;
  • 处理个人信息的兽医供应商;
  • 审查内部政策和外部面临的隐私政策,以确认他们遵守业务所涉及的管辖权和法律的任务;
  • 如果收集生物识别信息,应提供明确的事先通知,并应确保知情同意(至少辖区授权);
  • 仔细考虑在销售个人信息之前经营业务所在的法律;
  • 审查您的上游和下游合同关系以了解您的义务,以及您在第三方供应商中从第三方供应商恢复的能力,以便数据违反或违反主动隐私法;
  • 购买有意义的覆盖范围的网络核心和犯罪覆盖范围,包括远程劳动力(以及供应商的远程劳动力)。

这些事业不是“一个人,”但应该是年度运动的一部分。

对于小型企业(每年收入的3500万美元),新泽西州小型企业发展中心为网络研讨会提供了不需要的成本和咨询服务,以减少这些和其他相关问题。新泽西州的网络安全和通信集成单元还为各种主题提供免费资源。最后,网络犯罪支持网络是一个非营利性的组织,为经历了数据泄露的小企业提供了免费资源。

自从通过以来,任何大小的业务的业务时间已经过去了。不要等待成为下一个标题。

Michelle A. Schaap是一名成员 Chiesa Shahinian.& Giantomasi P.C. 是公司隐私的创始人&数据安全组。