SAFE Data Act – amerykańska ustawa o ochronie danych osobowych

Ustawa, nad którą pracują Stany Zjednoczone nosi nazwę „SAFE Data Act”. Zaskakujące, że Amerykanie za opracowanie ustawy zabrali się dopiero teraz. Z drugiej strony, to zrozumiała reakcja na ostatnie włamania, między innymi do serwisów Sony i Citigroup.

USA nad swoją ustawą pracuje po ponad piętnastu latach od wprowadzenia Dyrektywy Parlamentu Europejskiego i Unii Europy nr 95/46/WE (Dyrektywa w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych). Pełna nazwa ustawy brzmi „Secure and Fortify Electronic Data Act” w skrócie właśnie „SAFE Data Act”.

Poniżej kilka ciekawostek z amerykańskiej ustawy:

• Projekt amerykański wymaga nie tylko monitoringu systemów, ale również aktywnej identyfikacji, oceny oraz usuwania ich potencjalnych słabości.
• Przypadki naruszenia bezpieczeństwa danych osobowych mają być w ciągu 48 godzin zgłaszane Federalnej Komisji Handlu oraz poszkodowanym osobom.
• Kara za naruszenie wymogów bezpieczeństwa informacji: 11 tysięcy dolarów… za każdy dzień niezgodności.
• Kara za naruszenie wymogów informacyjnych: 11 tysięcy dolarów… za każdy incydent (na przykład brak powiadomienia pojedynczej osoby to jeden incydent).
• Według projektu samo imię i nazwisko, adres lub numer telefonu nie stanowi danych osobowych. Dopiero powiązanie tych pól z numerem Social Security, numerem dokumentu (prawo jazdy, paszport, etc.) lub identyfikatorem bankowym (np. numer rachunku, karty kredytowej, hasło) tworzy dane będące przedmiotem ochrony.

Na razie nie zanosi się na to, by wymagania „SAFE Data Act” propagowały się na polskie firmy w sposób podobny jak wymagania SOXa. Ale kto wie: może są u nas dostawcy świadczący usługi hostingowe dla amerykańskich firm?

Do poczytania:

• Rep. Bono Mack Introduces Legislation to Protect Consumers From Identity Theft
• Businesses More Concerned With Reputation Than Fines
• House panel approves data security bill
• SAFE Data Act