Mozaika przepisów dotyczących ochrony prywatności w USA wciąż się rozszerza

Pisałem już wcześniej o coraz bardziej niejednolitym systemie prawnym dotyczącym sztucznej inteligencji.

To samo dzieje się w dziedzinie ochrony prywatności, zarówno w Stanach Zjednoczonych, jak i na całym świecie.

✅ Vermont stał się właśnie 23. stanem USA, który uchwalił kompleksową ustawę o ochronie prywatności konsumentów. Gubernator Phil Scott podpisał 16 czerwca 2026 r. ustawę „Vermont Data Privacy and Online Surveillance Act”, która wejdzie w życie 1 stycznia 2028 r. Vermont przyjął również ustawę o rejestracji podmiotów zajmujących się handlem danymi oraz odrębną ustawę o ochronie danych genetycznych.

Photo: freepik

✅ W Stanach Zjednoczonych nadal nie ma jednej federalnej, kompleksowej ustawy o ochronie prywatności, która byłaby odpowiednikiem RODO. Zamiast tego organizacje muszą zmagać się z rosnącą liczbą stanowych przepisów dotyczących ochrony prywatności, z których każdy ma własny zakres, progi, definicje, zasady rezygnacji, wymagania dotyczące danych wrażliwych, mechanizmy egzekwowania oraz terminy wdrożenia.

✅ Nowa ustawa ma zastosowanie do administratorów lub podmiotów przetwarzających dane osobowe ponad 35 000 mieszkańców stanu Vermont, przetwarzających wrażliwe dane osobowe co najmniej 3 000 mieszkańców lub sprzedających dane osobowe co najmniej 3 000 mieszkańców.

Ustawa wymaga również od organizacji respektowania sygnałów dotyczących rezygnacji oraz wniosków upoważnionych przedstawicieli. Ciekawym elementem związanym ze sztuczną inteligencją jest to, że w informacjach o ochronie prywatności należy ujawnić, czy administrator gromadzi, wykorzystuje lub sprzedaje dane osobowe w celu szkolenia dużych modeli językowych.

Powinniśmy podchodzić ostrożnie do nagłówków typu „Vermont jest 23. stanem, który wprowadził regulacje dotyczące prywatności”. Jest to prawdą tylko wtedy, gdy mamy na myśli kompleksowe przepisy dotyczące prywatności konsumentów. W rzeczywistości w Stanach Zjednoczonych istnieje znacznie więcej regulacji dotyczących prywatności na poziomie stanowym, obejmujących konkretne obszary, takie jak dane zdrowotne, dane genetyczne, dane dzieci, pośrednicy danych, dane biometryczne, śledzenie online, reklamy, powiadamianie o naruszeniach, informacje finansowe czy dane pracowników. Zatem mozaika przepisów dotyczących prywatności jest jeszcze szersza, niż sugeruje liczba „23”.

☑️ Dojrzały program ochrony prywatności powinien opierać się na wewnętrznych ramach obejmujących:

✅ mapowanie danych,

✅ ocenę podstawy prawnej,

✅ przejrzystość i powiadomienia,

✅ zarządzanie zgodami i preferencjami,

✅ kontrolę danych wrażliwych,

✅ prawa osób, których dane dotyczą,

✅ zarządzanie dostawcami i pośrednikami danych,

✅ ocenę danych szkoleniowych dla sztucznej inteligencji,

✅ reagowanie na naruszenia, przechowywanie i usuwanie danych,

✅ dowody zgodności z przepisami.

Następnie każdy lokalny wymóg powinien zostać przyporządkowany do tych ram.

Autor: Sebastian Burgemejster