Massachusetts poostril zahteve za ščitenje zbirk osebnih podatkov

Massachusetts je sprejel nov zakon o ščitenju zbirk podatkov, ki omogočajo identifikacijo posameznika (PII). Izvajanje zakona 201 CMR 17.00, ki je bil sprejet lani, je bilo večkrat odloženo. Zadnji rok je bil postavljen na 1. marec 2010, a presenetljivo malo ljudi v ZDA je bilo seznanjenih z zakonom, kaj šele v drugih državah. Poglejmo, kaj ta zelo strog zakon, ki bi lahko vplival na podobno zakonodajo drugod po svetu, predpisuje.

Zakon obvezuje le podjetja, ki hranijo PII, medtem ko za posameznike in za javno upravo ne velja. Zakona se morajo držati tudi ostali subjekti v drugih zveznih državah, če hranijo PII prebivalcev Massachusettsa. Najočitnejša sprememba so strožje kazni, saj se vsak izgubljeni osebni podatek kaznuje s 5000 dolarji. Izguba prenosnika s podatki samo dvesto posameznikov tako stane milijon dolarjev.

Posebej očitni sta dve zahtevi v zakonu. Prvič, zahteva da imajo podjetja vzpostavljen delujoč program za zaščito podatkov, ki varuje PII. Vzdrževati morajo pisni protokol za zaščito podatkov (WISP), ki opisuje uporabljene ravni zaščite. Prav tako pomembna je zahteva po enkripciji, saj zakon terja enkripcijo vseh podatkov bodisi med prenosom bodisi v mirovanju, vključno s prenosniki, pametnimi telefoni, USB-ključki, MP3-predvajalniki in drugimi prenosnimi napravami, ki vsebujejo PII.

Ostale zahteve so večidel že vključene v zakonodajo ali interne akte podjetij. Mednje sodijo omejitev dostopa in preverjanje dovoljenj, požarni zidovi, nameščanje popravkov programske opreme, izobraževanje uporabnikov v podjetju in ustrezno ravnanje z osebnimi podatki. Posameznik ali skupina mora biti postavljen za uradnega koordinatorja za varnost podatkov, ki skrbi in je odgovoren vzpostavitev ustreznega protokola, izobraževanje udeležencev in drugimi postopki, ki se tičejo rokovanja s PII.