Графики утечки данных по штатам за 2015 год
Для удобства используются следующие стандартные определения личной информации и нарушения безопасности (основанные на определении, обычно используемом большинством государств), а любые отклонения от общепринятого определения отмечены:
Personaл Информация: Имя или инициал и фамилия лица плюс один или несколько из следующих элементов данных: (i) номер социального страхования, (ii) номер водительских прав или номер удостоверения личности, выданного государством, (iii) номер счета, номер кредитной карты или номер дебетовой карты в сочетании с любым кодом безопасности, кодом доступа, PIN-кодом или паролем, необходимыми для доступа к счету, и, как правило, применяется к компьютеризированным данным, которые включают личную информацию. Персональная информация не должна включать общедоступную информацию, которая законно предоставляется широкой публике из федеральных, государственных или местных государственных записей или широко распространенных средств массовой информации. Кроме того, Персональная информация не должна включать общедоступную информацию, которая законно предоставляется широкой публике из федеральных, государственных или местных государственных записей.
Браacч безопасности: Незаконное и несанкционированное получение личной информации, которое ставит под угрозу безопасность, конфиденциальность или целостность личной информации.
Обратите внимание, что приведенное ниже краткое изложение законов штатов об утечке данных не предназначено и не должно использоваться в качестве замены изучения формулировок закона, а также не является юридической консультацией.
- Штаты, в которых определение «личной информации» шире общего определения
- Состояния, которые запускают уведомление по доступу
- Состояния, требующие анализа риска причинения вреда
- Штаты, требующие уведомления Генерального прокурора или государственного агентства
- Штаты, требующие уведомления в течение определенного периода времени
- Штаты, которые допускают частное основание иска
- Штаты с шифрованием безопасной гаванью
- Государства, в которых действие закона инициируется нарушением безопасности электронных и/или бумажных документов
| Штаты, в которых определение «личной информации» шире общего определения | |
| Аляска | Персональная информация жителей Аляски. Кроме того: пароли, персональные идентификационные номера или другие коды доступа к финансовым счетам. |
| Арканзас | Персональные данные жителей Арканзаса. Дополнительно: медицинская информация. |
| Калифорния | Общий закон об уведомлении о нарушении: Персональная информация жителей Калифорнии. Кроме того: имя пользователя или адрес электронной почты в сочетании с паролем или секретным вопросом и ответом, которые разрешат доступ к онлайн-аккаунту; медицинская информация и информация о медицинском страховании. Закон об уведомлении о нарушении, касающемся конкретной медицинской информации: Для клиник, медицинских учреждений, агентств по оказанию медицинской помощи на дому и хосписов, лицензированных в соответствии с разделами 1204, 1250, 1725 или 1745 Кодекса здравоохранения и безопасности Калифорнии, может применяться закон штата об уведомлении о нарушении медицинской информации. Закон распространяется на медицинскую информацию пациентов.
«Медицинская информация» означает любую индивидуально идентифицируемую информацию в электронной или физической форме, находящуюся во владении или полученную от поставщика медицинских услуг, плана медицинского обслуживания, фармацевтической компании или подрядчика относительно истории болезни пациента, психического или физического состояния или лечения. «Индивидуально идентифицируемая» означает, что медицинская информация включает или содержит любой элемент персональной идентифицирующей информации, достаточный для идентификации личности, такой как имя пациента, адрес, адрес электронной почты, номер телефона или номер социального страхования или другая информация, которая сама по себе или в сочетании с другой общедоступной информацией раскрывает личность личности. |
| Флорида | Персональная информация означает одно из следующего: а. Имя или первая буква имени и фамилия лица в сочетании с любым одним или несколькими из следующих элементов данных для этого лица: (i) номер социального страхования; (ii) номер водительских прав или удостоверения личности, номер паспорта, военный идентификационный номер или другой аналогичный номер, выданный на правительственном документе, используемом для подтверждения личности; (iii) номер финансового счета или номер кредитной или дебетовой карты в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который необходим для разрешения доступа к финансовому счету лица; (iv) любая информация, касающаяся истории болезни лица, психического или физического состояния, или лечения или диагноза, поставленного медицинским работником; или (v) номер полиса медицинского страхования лица или идентификационный номер абонента и любой уникальный идентификатор, используемый медицинской страховой компанией для идентификации лица.
б) Имя пользователя или адрес электронной почты в сочетании с паролем или контрольным вопросом и ответом, которые позволят получить доступ к учетной записи в Интернете. |
| Грузия | Персональные данные жителей Грузии. Кроме того: пароль и любые элементы данных, не связанные с именем, если любые другие элементы данных в отдельности были бы достаточны для совершения или попытки совершения кражи личных данных в отношении лица, чья информация была скомпрометирована. |
| Айова | Персональная информация жителей Айовы. Кроме того: уникальный электронный идентификатор или код маршрутизации в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который позволит получить доступ к финансовому счету лица; уникальные биометрические данные, такие как отпечаток пальца, изображение сетчатки или радужной оболочки глаза или другое уникальное физическое представление или цифровое представление биометрических данных. |
| Канзас | Персональная информация жителей Канзаса. Кроме того: номер счета или номер кредитной/дебетовой карты, отдельно или в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который позволит получить доступ к финансовому счету потребителя. |
| Мэн | Персональные данные жителей штата Мэн. Кроме того: пароль, если любой из других элементов данных сам по себе будет достаточным, чтобы позволить человеку обманным путем выдать или попытаться выдать личность человека, чья информация была скомпрометирована. |
| Мэриленд | Персональная информация жителей Мэриленда. Кроме того: индивидуальный идентификационный номер налогоплательщика. |
| Массачусетс | Персональная информация жителей Массачусетса. Кроме того: информация о финансовых счетах с паролем или кодом безопасности или без него. Сюда входит неэлектронная персональная информация. |
| Миссури | Персональная информация жителей Миссури. Кроме того: уникальный электронный идентификатор или код маршрутизации в сочетании с требуемым кодом безопасности, кодом доступа или паролем, который позволит получить доступ к финансовому счету лица; медицинская и страховая информация, включая историю болезни лица, психическое или физическое состояние, лечение или диагноз, номер полиса медицинского страхования и любой другой уникальный идентификатор, используемый медицинским страховщиком. |
| Небраска | Персональная информация жителей Небраски. Кроме того: уникальный электронный идентификационный номер или код маршрутизации в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем; или уникальные биометрические данные, такие как отпечаток пальца, отпечаток голоса или изображение сетчатки или радужной оболочки глаза или другое уникальное физическое представление. |
| Нью-Гемпшир | Уведомление о несанкционированном раскрытии медицинской информации: Для лиц, корпораций, учреждений или учреждений, имеющих лицензию в Нью-Гемпшире или иным образом законно предоставляющих медицинские услуги, может применяться Уведомление о несанкционированном раскрытии медицинской информации штата. Устав применяется к защищенной медицинской информации из §§262 и 264 Закона о переносимости и подотчетности медицинского страхования 1996 года (HIPAA) (кодифицировано в 42U.SC § 300gg и 29 USC § 1181 и далее и 42 USC 1320d и далее (2010)). |
| Нью-Джерси | Персональная информация жителей Нью-Джерси. Кроме того: диссоциированные данные, которые, если связаны, будут представлять собой персональную информацию, являются персональной информацией, если средства для связи диссоциированных данных были доступны в связи с доступом к диссоциированным данным. |
| Neв Йорке | Закон применяется к «частной информации», что означает персональную информацию, касающуюся физического лица, которая из-за имени, номера, личного знака или другого идентификатора может быть использована для идентификации такого физического лица в сочетании с любым одним или несколькими из следующих элементов данных: (1) номер социального страхования;
(2) номер водительского удостоверения или номер удостоверения личности, не являющегося водителем; или (3) номер счета, номер кредитной или дебетовой карты в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который позволит получить доступ к финансовому счету лица. Закон охватывает «частную информацию», которая представляет собой персональную информацию, состоящую из любой информации в сочетании с любой один или несколько из следующих элементов данных: (1) номер социального страхования; (2) номер водительского удостоверения или номер удостоверения личности без права вождения; или (3) номер счета, номер кредитной или дебетовой карты в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который позволит получить доступ к финансовому счету лица. |
| «Персональная информация» означает любую информацию, касающуюся физического лица, которая из-за имени, номера, личного знака или другого идентификатора может быть использована для идентификации такого физического лица. Частная информация не включает в себя общедоступную информацию, которая законно предоставляется широкой публике из записей федеральных, государственных или местных органов власти. | |
| Северная Каролина | Имя или инициалы и фамилия человека в сочетании с любым одним или несколькими из следующих данных: (1) номер социального страхования;
(2) водительские права или номер удостоверения личности штата; (3) номер счета, номер кредитной или дебетовой карты в сочетании с кодами безопасности или доступа или паролями к финансовому счету отдельного лица; (4) биометрические данные; (5) отпечатки пальцев; (6) прочая информация, которая позволит получить доступ к финансовому счету или ресурсам человека. Персональная информация не включает в себя электронные идентификационные номера, имена или адреса электронной почты, номера учетных записей в Интернете, Интернет-адреса. идентификационные имена, официальная фамилия родителей до вступления в брак или пароль если только эта информация не позволит получить доступ к финансовому счету или ресурсам человека. |
| Северная Дакота | «Персональная информация» означает имя или первую букву имени и фамилию физического лица в сочетании с любым из следующих элементов данных, если имя и элементы данных не зашифрованы: (1) номер социального страхования физического лица;
(2) номер лицензии оператора, присвоенный физическому лицу департаментом транспорта; (3) номер цветного удостоверения личности с фотографией, не являющегося водителем, присвоенный данному лицу департаментом транспорта; (4) номер счета финансового учреждения лица, номер кредитной карты или номер дебетовой карты в сочетании с любыми требуемыми код безопасности, код доступа или пароль, который разрешает доступ к финансовым счетам отдельного лица; (5) дата рождения человека; (6) девичья фамилия матери лица; (7) медицинская информация; (8) информация о медицинском страховании; (9) идентификационный номер, присвоенный физическому лицу его работодателем; или (10) Оцифрованная или иная электронная подпись физического лица. |
| Огайо | Персональная информация жителей Огайо, за исключением общедоступной информации, которая на законных основаниях доступна широкой публике из записей федеральных, государственных или местных органов власти или из следующих широко распространенных средств массовой информации: 1) любые новости или редакционные рекламные заявления, опубликованные в любой добросовестной газете, журнале или газетном издании или переданные по радио или телевидению;
2) любой сбор или предоставление информации или новостей любым добросовестным репортером, корреспондентом или информационным бюро средствам массовой информации; 3) любая публикация, предназначенная и распространяемая среди членов любой добросовестной организации ассоциации или благотворительные или братские некоммерческие корпорации; |
| 4) любой тип носителя, аналогичный по своей природе любому предмету, субъекту или виду деятельности, указанным выше. | |
| Орегон | Имя или первая буква имени и фамилия потребителя в сочетании с любым одним или несколькими из следующих элементов данных, когда элементы данных не стали непригодными для использования из-за шифрования, редактирования или других методов или когда элементы данных зашифрованы и ключ шифрования также был получен: (1) Номер социального страхования; номер водительского удостоверения или номер государственного удостоверения личности, выданного Министерством транспорта;
(2) номер паспорта или другой идентификационный номер, выданный Соединенными Штатами; или (3) номер финансового счета, номер кредитной или дебетовой карты в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем, который позволит получить доступ к финансовому счету потребителя. Персональная информация также включает в себя любые элементы данных или любую комбинацию элементов данных, описанных выше, если они не объединены с именем или инициалами имени и фамилии потребителя и если элементы данных не стали непригодными для использования посредством шифрования, редактирования или других методов, если полученная информация будет достаточной для того, чтобы лицо могло совершить кражу личных данных в отношении потребителя, информация о котором была скомпрометирована. Персональная информация НЕ включает в себя информацию, за исключением номера социального страхования, содержащуюся в записях федеральных, государственных или местных органов власти, которые законно предоставляются общественности. |
| Южная Каролина | Персональные данные жителей Южной Каролины. Дополнение: другие номера или информация, которые могут быть использованы для доступа к финансовым счетам человека, или номера или информация, выданные государственным или регулирующим органом, которые однозначно идентифицируют человека. |
| Техас | Закон распространяется на «Конфиденциальную личную информацию», которая включает в себя личную информацию жителей Техаса. Кроме того: информация, которая идентифицирует человека и относится к:1) физическому или психическому здоровью или состоянию человека;
2) предоставление медицинской помощи отдельному лицу; или 3) плата за оказание медицинской помощи гражданину. |
| Вермонт | «Персонально идентифицируемая информация» жителей Вермонта, которая означает имя или первую букву имени и фамилию человека в сочетании с любым одним или несколькими из следующих элементов данных, когда имя или элементы данных не зашифрованы, не отредактированы или иным образом не защищены: (i) номер социального страхования;
(ii) номер водительского удостоверения водителя транспортного средства или номер удостоверения личности без права вождения; (iii) номер финансового счета или номер кредитной или дебетовой карты, если существуют обстоятельства, при которых номер может быть использован без дополнительной идентификации информация, коды доступа или пароли; (iv) пароли к учетным записям или персональные идентификационные номера или другие коды доступа к финансовому счету. |
| Виргиния | Уведомление о нарушении конфиденциальности личной информации: Персональная информация жителей Вирджинии. Кроме того: медицинская информация. Уведомление о нарушении конфиденциальности медицинской информации: Для органа, совета, бюро, комиссии, округа или агентства штата или любого политического подразделения штата, или агентств в штате, поддерживаемых полностью или в основном |
| за счет государственных средств может применяться закон штата об уведомлении о нарушении медицинской информации. Закон применяется к медицинской информации. «Медицинская информация» означает имя или инициал имени и фамилию с любым из следующих элементов:
(1) любая информация, касающаяся истории болезни или психического здоровья человека, психического или физического состояния, а также лечения или диагноза, поставленного медицинским учреждением профессиональный; или (2) номер полиса медицинского страхования или идентификационный номер абонента, любой уникальный идентификатор, используемый медицинским страховщиком для идентификации лица, или любая информация в заявлении и истории претензий лица, включая любые записи об апелляциях. |
|
| Висконсин | Фамилия и имя лица или первая буква его имени в сочетании с любым из следующих элементов и в привязке к нему, если элемент не является общедоступной информацией и не зашифрован, не отредактирован или не изменен таким образом, что элемент становится нечитаемым: (1) номер социального страхования лица;
(2) номер водительского удостоверения лица или государственный идентификационный номер; (3) номер финансового счета лица, включая номер счета кредитной или дебетовой карты, или любой код безопасности, код доступа или пароль, который разрешает доступ к финансовому счету лица; (4) ДНК-профиль; (5) уникальные биометрические данные человека, включая отпечатки пальцев, голосовой отпечаток, изображение сетчатки или радужной оболочки глаза или любое другое уникальное физическое представление. |
| Wyприближающийся | «Персональная идентифицирующая информация», которая включает в себя имя или первую букву имени и фамилию человека в сочетании с одним или несколькими из следующих элементов данных, если имя или элементы данных не отредактированы: (A) Номер социального страхования;
(B) номер водительского удостоверения или номер удостоверения личности штата Вайоминг; (C) номер счета, номер кредитной карты или номер дебетовой карты в сочетании с любым кодом безопасности, кодом доступа или паролем, который позволяет получить доступ к финансовому счету лица; (D) племенная идентификационная карта; или (E) удостоверение личности, выданное федеральным или государственным правительством. |
| округ Колумбия | Имя или инициал имени и фамилии человека, или номер телефона, или адрес в сочетании с одним из следующих: (1) номер социального страхования;
(2) номер водительского удостоверения или номер удостоверения личности округа Колумбия (3) номер кредитной карты или номер дебетовой карты; или любой другой номер или код или комбинация цифр или кодов, например номер счета, код безопасности, код доступа или пароль, которые позволяют получить доступ или использовать данные лица финансовый или кредитный счет. |
| Пуэрто-Рико | По крайней мере, имя или первая буква имени и фамилия человека, а также любые из следующих данных, чтобы можно было установить связь между определенной информацией и другой информацией, и чтобы информация была достаточно разборчивой, чтобы для доступа к ней не требовалось использовать специальный криптографический код: (1) номер социального страхования;
(2) номер водительского удостоверения, удостоверения личности избирателя или другого официального документа, удостоверяющего личность; (3) номера банковских или финансовых счетов любого типа с паролями или кодами доступа, которые могли быть назначены, или без них; (4) имена пользователей и пароли или коды доступа к государственным или частным информационным системам;
оценки, связанные с работой. |
| Государства, которые запускают уведомление при доступе | |
| Коннектикут | «Нарушение безопасности» означает несанкционированный доступ или несанкционированное получение электронных файлов, носителей, баз данных или компьютерных данных, содержащих персональную информацию, когда доступ к персональной информации не был защищен шифрованием или любым другим методом или технологией, которые делают персональную информацию нечитаемой или непригодной для использования. |
| Нью-Джерси | «Нарушение безопасности» означает несанкционированный доступ к электронным файлам, носителям или данным, содержащим персональную информацию, который ставит под угрозу безопасность, конфиденциальность или целостность персональной информации, когда доступ к персональной информации не был защищен шифрованием или любым другим методом или технологией, которые делают персональную информацию нечитаемой или непригодной для использования. |
| Пуэрто-Рико | «Нарушение безопасности системы» означает любую ситуацию, в которой обнаруживается, что доступ был разрешен неавторизованным лицам или организациям к файлам данных, так что безопасность, конфиденциальность или целостность информации в банке данных были скомпрометированы; или когда обычно уполномоченные лица или организации имели доступ и известно или есть обоснованное подозрение, что они нарушили профессиональную конфиденциальность или получили разрешение под ложным представлением с намерением незаконного использования информации. Это включает как доступ к банкам данных через систему, так и физический доступ к носителям записи, которые содержат то же самое, и любое удаление или неправомерное извлечение указанных записей. |
| Государства, требующие анализа риска причинения вреда при определении момента инициирования уведомления | |
| Аляска | Уведомление не требуется, если после расследования и письменного уведомления Генерального прокурора организация определяет, что нет обоснованной вероятности того, что вред потребителям был или будет причинен. Определение должно быть задокументировано в письменной форме и храниться в течение пяти лет. |
| Аризона | Уведомление не требуется, если нарушение не ставит под угрозу безопасность хранящейся персональной информации или если организация или правоохранительный орган после разумного расследования определяют, что нарушение безопасности системы не произошло или маловероятно. |
| Арканзас | Уведомление в соответствии с настоящим разделом не требуется, если после разумного расследования лицо или предприятие определит, что нет обоснованной вероятности причинения вреда клиентам. |
| Колорадо | Уведомление не требуется, если после добросовестного, оперативного и разумного расследования организация определит, что неправомерное использование личной информации жителя Колорадо не имело места и вряд ли произойдет. |
| Коннектикут | Уведомление не требуется, если после разумного расследования и консультаций с соответствующими правоохранительными органами будет установлено, что нет обоснованной вероятности причинения вреда клиентам. |
| доляw | Уведомление требуется только в том случае, если расследование установит, что неправомерное использование информации о жителе Делавэра имело место или существует обоснованная вероятность того, что оно произойдет. |
| Флорида | Уведомление пострадавших лиц не требуется, если после надлежащего расследования и консультаций с соответствующими федеральными, государственными или местными правоохранительными органами, охваченная организация обоснованно определяет, что нарушение не привело и, скорее всего, не приведет к краже личных данных или любому другому финансовому ущербу для лиц, чья личная информация была получена. Такое определение должно быть задокументировано в письменной форме и храниться в течение не менее 5 лет. |
| Hawац | Уведомление не требуется, если организация после разумного расследования определит, что нет обоснованной вероятности причинения вреда. |
| Айдахо | Уведомление требуется, если безопасность, конфиденциальность или целостность личной информации одного или нескольких лиц существенно нарушены и расследование устанавливает, что неправомерное использование информации о жителе Айдахо произошло или с большой долей вероятности может произойти. |
| Индиана | Уведомление требуется, если владелец базы данных знает, должен знать или должен был знать, что несанкционированное получение данных, составляющее нарушение, привело или могло привести к обману личности, краже личности или мошенничеству, затрагивающему жителя Индианы. |
| Айова | Уведомление не требуется, если после надлежащего расследования или после консультаций с соответствующими федеральными, государственными или местными органами, ответственными за обеспечение соблюдения закона, лицо определило, что в результате нарушения не возникло и не возникнет никакой разумной вероятности финансового ущерба для потребителей, чья личная информация была получена. Такое определение должно быть задокументировано в письменной форме, и документация должна храниться в течение пяти лет. |
| Канзас | Любое лицо, к которому применяется закон, должно, когда ему становится известно о любом нарушении безопасности системы, провести добросовестно разумное и быстрое расследование, чтобы определить вероятность того, что личная информация была или будет использована ненадлежащим образом. Если расследование определит, что ненадлежащее использование информации произошло или, по всей вероятности, произойдет, лицо или правительство, правительственное подразделение или агентство должны как можно скорее уведомить об этом пострадавшего жителя Канзаса. |
| Кентукки | Уведомление требуется, если несанкционированное получение незашифрованных и неотредактированных компьютерных данных, которое ставит под угрозу безопасность, конфиденциальность или целостность персонально идентифицируемой информации, хранящейся держателем информации как часть базы данных в отношении нескольких лиц, фактически приводит или дает держателю информации основания полагать, что привело или приведет к краже личных данных или мошенничеству в отношении любого жителя Кентукки. |
| Луизиана | Уведомление не требуется, если после разумного расследования лицо или предприятие определяет, что нет обоснованной вероятности причинения вреда клиентам. |
| Мэн | Уведомление не требуется, если после проведения добросовестного, разумного и оперативного расследования организация определяет, что нет обоснованной вероятности того, что персональные данные были или будут использованы ненадлежащим образом. |
| Мэриленд | Уведомление не требуется, если после добросовестного, разумного и оперативного расследования организация определяет, что персональные данные лица не были и не будут использоваться ненадлежащим образом в результате нарушения. Если после завершения расследования организация определяет, что уведомление не требуется, организация должна хранить записи, отражающие ее определение, в течение трех лет после вынесения определения. |
| Массачусетс | Нарушение должно создавать существенный риск кражи личных данных или мошенничества в отношении резидента Содружества или когда лицо или агентство знает или имеет основания знать, что персональные данные такого резидента были получены или использованы неуполномоченным лицом или использованы в несанкционированных целях. |
| Мичиган | Лицо или агентство не обязаны предоставлять уведомление, если лицо или агентство определяет, что нарушение безопасности не привело или, скорее всего, не приведет к существенному убытку или травме или краже личных данных в отношении одного или нескольких жителей Мичигана. Принимая это решение, лицо или агентство должны действовать с осторожностью, которую обычно осмотрительное лицо или агентство в аналогичном положении проявили бы при аналогичных обстоятельствах. |
| Миссисипи | Уведомление не требуется, если после соответствующего расследования лицо обоснованно определяет, что нарушение, скорее всего, не приведет к причинению вреда пострадавшим лицам. |
| Миссури | Уведомление не требуется, если после надлежащего расследования лицом или после консультаций с соответствующими федеральными, государственными или местными органами, ответственными за обеспечение соблюдения закона, лицо определяет, что риск кражи личных данных или другого мошенничества для любого потребителя не является обоснованно вероятным в результате нарушения. Такое определение должно быть задокументировано в письменной форме, и документация должна храниться в течение пяти лет. |
| Монтана | Уведомление требуется, если несанкционированное получение компьютерных данных существенно ставит под угрозу безопасность, конфиденциальность или целостность личной информации и приводит или есть основания полагать, что приводит к убыткам или травмам жителя Монтаны. |
| Небраска | Если расследование установит, что имело место или есть разумная вероятность использования информации о жителе Небраски в несанкционированных целях, физическое или коммерческое лицо должно уведомить об этом пострадавшего жителя Небраски. |
| Невада | Уведомление требуется, если несанкционированное получение компьютерных данных существенно ставит под угрозу безопасность, конфиденциальность или целостность личной информации, хранящейся сборщиком данных. |
| Нью-Гемпшир | Для Закона об уведомлении о нарушении конфиденциальности персональных данных: уведомление не требуется, если установлено, что неправомерное использование информации не произошло и маловероятно, что произойдет. |
| Нью-Джерси | Уведомление не требуется, если коммерческая или государственная организация установит, что неправомерное использование информации нецелесообразно (должна хранить запись о таком решении в течение пяти лет). |
| Neв Йорке | При определении того, была ли информация получена или есть основания полагать, что она была получена неуполномоченным лицом или лицом без действительного разрешения, такой бизнес может учитывать, среди прочего, следующие факторы: (1) признаки того, что информация находится в физическом владении и под контролем неуполномоченного лица, например, потерянный или украденный компьютер или другое устройство, содержащее информацию; или
(2) признаки того, что информация была загружена или скопирована; или (3) признаки того, что информация была использована неуполномоченным лицом, например, открытие мошеннических счетов или сообщения о случаях кражи личных данных. |
| Северная Каролина | Уведомление не требуется, если нарушение не приводит к незаконному использованию личной информации, не имеет разумной вероятности привести к незаконному использованию или не существует существенного риска причинения вреда потребителю. |
| Огайо | Уведомление требуется только в том случае, если доступ и завладение информацией неуполномоченным лицом влечет или есть основания полагать, что резиденту будет нанесен существенный риск кражи личных данных или иного мошенничества. |
| Оклахома | Уведомление требуется, если нарушение приводит к краже личных данных или другому мошенничеству в отношении любого резидента данного штата или если у физического или юридического лица есть основания полагать, что оно привело или приведет к такому нарушению. |
| Орегон | Для лица, которому принадлежат данные, уведомление не требуется, если после соответствующего расследования или после консультаций с соответствующими федеральными, государственными или местными органами, ответственными за обеспечение соблюдения закона, лицо определяет, что в результате нарушения не возникло и не возникнет никакой разумной вероятности причинения вреда потребителям, чья личная информация была получена. Такое определение должно быть задокументировано в письменной форме, и документация должна храниться в течение пяти лет. |
| Пенсильвания | Уведомление требуется только в том случае, если доступ и получение информации существенно угрожают безопасности или конфиденциальности личной информации. |
| Род-Айленд | Уведомление о нарушении не требуется, если после соответствующего расследования или после консультаций с соответствующими федеральными, государственными или местными правоохранительными органами будет установлено, что нарушение не привело и, скорее всего, не приведет к значительному риску кражи личных данных лиц, чьи персональные данные были получены. |
| Южная Каролина | Уведомление требуется в случае, если персональные идентификационные данные, которые не стали непригодными для использования в результате шифрования, редактирования или других методов, были или есть основания полагать, что были получены неуполномоченным лицом, и незаконное использование информации произошло или с большой долей вероятности может произойти, или использование информации создает существенный риск причинения вреда резиденту. |
| Теннесси | Уведомление требуется в случае несанкционированного получения незашифрованных компьютерных данных, которое существенно ставит под угрозу безопасность, конфиденциальность или целостность личной информации, хранящейся у держателя информации. |
| Юта | Уведомление требуется, если произошло или есть разумная вероятность неправомерного использования личной информации в целях кражи личных данных или мошенничества. |
| Вермонт | Уведомление о нарушении безопасности не требуется, если сборщик данных устанавливает, что неправомерное использование личной информации не является разумно возможным, и сборщик данных предоставляет уведомление о решении и подробное объяснение этого решения генеральному прокурору Вермонта или в департамент банковского дела, страхования, ценных бумаг и здравоохранения. Если сборщик данных позже соберет факты, указывающие на то, что неправомерное использование личной информации является разумно возможным, то уведомление требуется. |
| Виргиния | Уведомление требуется, если организация обоснованно полагает, что такое нарушение привело или приведет к краже персональных данных или другому мошенничеству в отношении любого резидента Содружества. |
| Вашингтон | Ни одно лицо, предприятие или агентство не обязаны раскрывать информацию о техническом нарушении системы безопасности, которое не представляет разумной угрозы для клиентов в связи с преступной деятельностью. |
| Западная Вирджиния | Уведомление требуется только в том случае, если физическое или юридическое лицо обоснованно полагает, что нарушение привело или приведет к краже личных данных или другому мошенничеству в отношении любого резидента данного штата. |
| Висконсин | Уведомление не требуется, если получение персональных данных не создает существенного риска кражи персональных данных или мошенничества в отношении субъекта персональных данных. |
| Wyприближающийся | Уведомление требуется, когда несанкционированное получение компьютерных данных существенно ставит под угрозу безопасность, конфиденциальность или целостность личной идентификационной информации, хранящейся у лица или предприятия, и наносит или есть основания полагать, что нанесет убытки или вред жителю данного штата. Жители должны быть уведомлены о нарушении безопасности системы, когда после добросовестного, разумного и оперативного расследования физическое или коммерческое предприятие определяет, что неправомерное использование личной идентификационной информации о жителях произошло или с большой долей вероятности может произойти. |
| Штаты, требующие уведомления Генерального прокурора или государственного агентства | |
| Аляска | Если после расследования организация определяет, что нарушение не создает обоснованной вероятности причинения или возникновения вреда для потребителей, она должна документально оформить это определение и уведомить о нем Генерального прокурора. |
| Калифорния | Общий закон об уведомлении о нарушении: Любое лицо, уведомляющее более 500 жителей Калифорнии в результате одного нарушения, должно в электронном виде отправить один образец письма-уведомления Генеральному прокурору. Закон об уведомлении о конкретном нарушении медицинской информации: Департамент здравоохранения Калифорнии должен быть уведомлен не позднее, чем через 5 рабочих дней (15 рабочих дней с 1 января 2015 г.) после того, как лицензиат обнаружил несанкционированный доступ, использование или раскрытие. |
| Коннектикут | Если уведомление о нарушении безопасности должно быть предоставлено затронутым лицам, лицо также должно предоставить уведомление о нарушении Генеральному прокурору не позднее времени предоставления уведомления жителям. В соответствии с Бюллетенем IC-25 (18 августа 2010 г.) все лицензиаты и зарегистрированные лица Департамента страхования Коннектикута обязаны уведомлять Департамент о любом инциденте информационной безопасности, который затрагивает жителей Коннектикута, сразу после выявления инцидента, но не позднее пяти календарных дней с момента выявления инцидента. |
| Флорида | Защищенная организация должна уведомить Генеральную прокуратуру Флориды о любом нарушении безопасности, затрагивающем 500 или более жителей Флориды. Такое уведомление должно быть предоставлено как можно скорее, но не позднее, чем через 30 дней после определения нарушения или основания полагать, что нарушение произошло. |
| Hawац | Если нарушение затрагивает более 1000 человек, необходимо уведомить Управление по защите прав потребителей Гавайев о сроках, содержании и порядке распространения уведомления. |
| Айдахо | Если организация является государственным учреждением, она должна уведомить Генерального прокурора в течение 24 часов с момента обнаружения. Учреждение также должно сообщить о нарушении безопасности в Офис главного должностного лица по информационным технологиям в Департаменте администрации в соответствии с политикой Совета по управлению ресурсами информационных технологий. |
| Иллинойс | Любое государственное учреждение, которое собирает персональные данные и столкнулось с нарушением безопасности системных данных или письменных материалов, должно в течение пяти рабочих дней с момента обнаружения или уведомления о нарушении представить Генеральной Ассамблее отчет, в котором перечислены нарушения и изложены любые корректирующие меры, которые были приняты для предотвращения будущих нарушений безопасности системных данных или письменных материалов. Любое учреждение, представившее отчет в соответствии с законом, должно представить ежегодный отчет, в котором перечислены все нарушения безопасности системных данных или письменных материалов, а также корректирующие меры, которые были приняты для предотвращения будущих нарушений. |
| Индиана | О нарушении необходимо уведомить Генерального прокурора. |
| Айова | В случае нарушения безопасности, требующего уведомления 500 или более жителей Айовы в соответствии с законодательством штата, письменное уведомление должно быть предоставлено директору отдела по защите прав потребителей Генерального прокурора Айовы в течение пяти рабочих дней с момента уведомления любого жителя Айовы о нарушении. (Вступило в силу 1 июля 2014 г.) |
| Луизиана | Если уведомление должно быть направлено гражданам Луизианы, организация должна предоставить письменное уведомление с подробным описанием нарушения безопасности системы в Отдел защиты прав потребителей Генеральной прокуратуры. Уведомление должно включать имена всех затронутых граждан Луизианы. Уведомление Генеральному прокурору штата будет своевременным, если оно получено в течение 10 дней с момента рассылки уведомления гражданам Лос-Анджелеса. Каждый день, в течение которого уведомление не получено Генеральным прокурором штата, будет считаться отдельным нарушением. |
| Мэн | О нарушении необходимо уведомить Генерального прокурора или Департамент профессионального и финансового регулирования, если субъект регулируется этим органом. |
| Мэриленд | Перед уведомлением отдельных лиц необходимо уведомить Генерального прокурора. |
| Массачусетс | Генеральный прокурор, директор по делам потребителей и регулированию бизнеса должны быть уведомлены о нарушении. Получив уведомление, директор по делам потребителей и регулированию бизнеса определит любое соответствующее агентство по отчетности потребителей или государственное агентство, о котором необходимо уведомить уведомляющую сторону. |
| Миссури | Если затронуто 1,000 или более человек, то Генеральный прокурор должен быть уведомлен о сроках, распространении и содержании уведомления для отдельных лиц. |
| Нью-Гемпшир | Лицо, занимающееся торговлей или коммерцией, должно уведомить регулирующий орган, который имеет основные регулирующие полномочия в отношении такой торговли или коммерции. Все остальные лица должны уведомить офис Генерального прокурора. Уведомление в офис Генерального прокурора должно включать предполагаемую дату уведомления лицам и приблизительное количество лиц в штате, которые будут уведомлены. Имена лиц, имеющих право на получение уведомления, не обязательно должны быть раскрыты. |
| Нью-Джерси | Прежде чем уведомлять клиентов, о нарушении необходимо уведомить Отдел государственной полиции Департамента юстиции и общественной безопасности. |
| Neв Йорке | Генеральный прокурор, Совет по защите прав потребителей и Управление кибербезопасности и критической инфраструктуры штата должны быть уведомлены о нарушении с помощью специального уведомления. |
| Северная Каролина | Отдел по защите прав потребителей Генеральной прокуратуры должен быть уведомлен о характере нарушения, количестве пострадавших потребителей, мерах, принятых для расследования нарушения, мерах, принятых для предотвращения подобных нарушений в будущем, а также о сроках, распространении и содержании уведомления посредством формы уведомления. |
| Пуэрто-Рико | Департамент по делам потребителей должен быть уведомлен о нарушении как можно скорее (в течение непродлеваемого 10-дневного срока после обнаружения нарушения системы стороны должны сообщить об этом Департаменту по делам потребителей, который должен сделать публичное заявление об этом факте в течение 24 часов с момента получения информации). |
| Южная Каролина | Если затронуто 1,000 или более человек, о нарушении необходимо уведомить Отдел защиты прав потребителей Департамента по делам потребителей. |
| Вермонт | После уведомления потребителей Генеральный прокурор должен быть уведомлен о количестве затронутых потребителей в Вермонте и предоставлена копия уведомления. Вторая копия письма-уведомления потребителя с отредактированной персонально идентифицируемой информацией, которая была предметом нарушения, также может быть предоставлена генеральному прокурору, которая будет использоваться для любого публичного раскрытия нарушения. В случае, если сборщик данных предоставляет уведомление более чем 1,000 потребителей одновременно в соответствии с настоящим разделом, сборщик данных должен уведомить без необоснованной задержки все агентства по отчетности потребителей. В уведомлении агентству по отчетности потребителей сборщик данных должен указать время, распространение и содержание уведомлений, отправляемых затронутым потребителям. |
| Виргиния | Закон об уведомлении об утечке персональных данных: Генеральная прокуратура должна быть уведомлена после обнаружения утечки персональных данных. В случае, если физическое или юридическое лицо направляет уведомление более чем 1,000 лицам одновременно, они должны без необоснованной задержки уведомить как Генеральную прокуратуру, так и все агентства по работе с сообщениями о нарушениях прав потребителей о сроках, распространении и содержании уведомления, отправленного пострадавшим жителям.
Закон об уведомлении о нарушении медицинской информации: Генеральная прокуратура и комиссар здравоохранения должны быть уведомлены после обнаружения нарушения медицинской информации. Организация должна уведомить как субъекта медицинской информации, так и любого пострадавшего резидента Содружества, если они не являются одним и тем же лицом. В случае если организация направляет уведомление более чем 1,000 лицам одновременно, она должна без необоснованной задержки уведомить Генеральную прокуратуру и Комиссара по здравоохранению о сроках, распространении и содержании уведомления, отправленного затронутым лицам. |
| Государства, требующие уведомления в течение определенного периода времени (за исключением общего положения о том, что уведомление должно быть предоставлено в максимально короткие сроки и максимально возможным образом, без необоснованной задержки, в соответствии с законными потребностями правоохранительных органов). | |
| Калифорния | Уведомление о нарушении медицинской информации: Для клиник, медицинских учреждений, агентств по оказанию медицинской помощи на дому и хосписов, лицензированных в соответствии с разделами 1204, 1250, 1725 или 1745 Кодекса здравоохранения и безопасности Калифорнии, может применяться закон штата об уведомлении о нарушении медицинской информации. Закон требует, чтобы лицензиаты уведомляли как затронутых пациентов, так и Департамент здравоохранения Калифорнии не позднее, чем через 5 рабочих дней (15 рабочих дней с 1 января 2015 года) после того, как лицензиат обнаружил несанкционированный доступ, использование или раскрытие. |
| Коннектикут | В соответствии с бюллетенем IC-25 (18 августа 2010 г.) все лицензиаты и зарегистрированные лица Департамента страхования Коннектикута обязаны уведомлять Департамент о любых инцидентах, связанных с информационной безопасностью, которые затрагивают жителей Коннектикута, сразу после выявления инцидента, но не позднее, чем через пять календарных дней после выявления инцидента. |
| Флорида | Уведомление должно быть предоставлено без необоснованной задержки; не позднее, чем за 30 дней; правоохранительные органы могут задержать уведомление. |
| Мэн | Если после завершения расследования требуется уведомление в соответствии с настоящим разделом, уведомление, требуемое настоящим разделом, может быть отложено не более чем на 7 рабочих дней после того, как правоохранительный орган определит, что уведомление не поставит под угрозу уголовное расследование. |
| Огайо | Уведомление должно быть предоставлено в максимально сжатые сроки, но не позднее, чем через 45 дней после обнаружения или уведомления о нарушении безопасности системы, с учетом законных потребностей правоохранительных органов. |
| Вермонт | Уведомление потребителя о нарушении безопасности должно быть сделано в максимально короткие сроки и без необоснованной задержки, но не позднее, чем через 45 дней с момента обнаружения. |
| Висконсин | Уведомление должно быть предоставлено в течение разумного срока, не превышающего 45 дней с момента, когда субъект узнает о получении личной информации. Определение разумности должно включать рассмотрение количества уведомлений, которые субъект должен предоставить, и методов коммуникации, доступных субъекту. |
| Штаты, которые допускают частное основание иска | |
| Аляска | Лицо, пострадавшее в результате нарушения, может подать иск против неправительственного учреждения в соответствии с Законом о недобросовестных или обманных действиях, AS 45.50.471 – 45.50.561. |
| Калифорния | Любой клиент, пострадавший от нарушения общего закона об уведомлении о нарушении, может возбудить гражданский иск о возмещении ущерба. Любой бизнес, который нарушает, намеревается нарушить или нарушил этот титул, может быть подвергнут запрету. |
| Луизиана | Гражданский иск может быть подан с целью возмещения реального ущерба, возникшего в результате несвоевременного уведомления лица о нарушении системы безопасности, повлекшем за собой раскрытие персональных данных лица. |
| Мэриленд | Потребители могут подать иск в соответствии с разделом 13 Свода законов штата Мэриленд, Законом о недобросовестной и обманной торговой практике. |
| Массачусетс | Потребители из Массачусетса могут требовать возмещения ущерба в соответствии с главой 93A, которая допускает в некоторых случаях возмещение ущерба в тройном размере. |
| Невада | Для сборщика данных существует частное право на иск. Сборщик данных, который предоставляет необходимое уведомление, может начать иск о возмещении ущерба против лица, которое незаконно получило или извлекло выгоду из личной информации, полученной из записей, хранящихся сборщиком данных. |
| Нью-Гемпшир | Лица, пострадавшие в результате нарушения, могут подать иск о возмещении ущерба и о таком справедливом возмещении, которое суд сочтет необходимым и надлежащим. Победившему истцу присуждаются судебные издержки и разумные гонорары адвокатов. Пострадавшее лицо, чьи медицинские записи были неправомерно раскрыты, может подать гражданский иск в соответствии с RSA 332-I:4 или RSA 332-I:5 и, в случае успеха, ему присуждается компенсация особых или общих убытков в размере не менее 1,000 долларов за каждое нарушение, а также издержки и разумные гонорары адвокатов. |
| Северная Каролина | Предоставляет частное право на иск только в случае, если в результате нарушения пострадало лицо. Ущерб установлен на уровне максимум 5,000 долларов за инцидент и предусматривает тройной размер ущерба в этом диапазоне. Также доступно судебное предписание. |
| Орегон | Государство может распорядиться о выплате компенсации, если придет к выводу, что защита прав потребителей путем частного гражданского иска будет настолько обременительной или дорогостоящей, что станет нецелесообразной. |
| Южная Каролина | Резидент Южной Каролины, пострадавший в результате нарушения настоящего раздела, в дополнение ко всем другим правам и средствам правовой защиты, предусмотренным законом, может: возбудить гражданский иск о возмещении ущерба в случае преднамеренного и осознанного нарушения; возбудить гражданский иск о возмещении только фактического ущерба, причиненного нарушением, в случае нарушения по небрежности; добиваться судебного запрета для обеспечения соблюдения; и взыскать гонорары адвокатов и судебные издержки в случае успеха. |
| Теннесси | Нарушение, предусмотренное законом об уведомлении об утечке данных, может также являться нарушением Закона штата Теннесси о защите прав потребителей, что может послужить основанием для частного иска. |
| Техас | Нарушение, предусмотренное законом об уведомлении об утечке данных, может также являться нарушением Закона Техаса о недобросовестной торговой практике, что может стать основанием для частного иска. |
| Виргиния | Хотя в целом соблюдение этого требования обеспечивается Генеральным прокурором, ничто в законе об уведомлении об утечке данных не препятствует возмещению экономического ущерба. |
| Вашингтон | Любой клиент, пострадавший в результате нарушения, может подать гражданский иск о возмещении ущерба. |
| округ Колумбия | Любой житель округа Колумбия, пострадавший от нарушения, может подать гражданский иск с целью возмещения фактических убытков, расходов на ведение иска и разумных гонораров адвоката. Фактические убытки не включают в себя ущерб достоинству, включая боль и страдания. |
| Пуэрто-Рико | Потребители могут предъявлять иски, выходящие за рамки закона. |
| Виргинские острова | Любой клиент, пострадавший в результате нарушения, может возбудить гражданский иск с целью возмещения ущерба. |
| Штаты с шифрованием безопасной гаванью | |
| Аляска | Закон применяется только к незашифрованной информации или зашифрованной информации, если также был раскрыт ключ шифрования. |
| Аризона | Требование уведомления применяется только в тех случаях, когда персональные данные не были зашифрованы. |
| Арканзас | Закон распространяется только на незашифрованные элементы данных. |
| Калифорния | Уведомление в соответствии с общим законом об уведомлении о нарушениях применяется только в тех случаях, когда незашифрованная персональная информация была получена или предполагается, что она была получена неуполномоченным лицом. |
| Колорадо | Закон применяется только к раскрытию незашифрованных компьютерных данных. |
| Коннектикут | Нарушение безопасности происходит только в том случае, если доступ к персональной информации не защищен шифрованием или любым другим методом или технологией, которые делают персональную информацию нечитаемой или непригодной для использования. |
| доляw | Закон распространяется на незашифрованные компьютерные данные. |
| Штаты с шифрованием безопасной гаванью | |
| Аляска | Закон применяется только к незашифрованной информации или зашифрованной информации, если также был раскрыт ключ шифрования. |
| Аризона | Требование уведомления применяется только в тех случаях, когда персональные данные не были зашифрованы. |
| Арканзас | Закон распространяется только на незашифрованные элементы данных. |
| Калифорния | Уведомление в соответствии с общим законом об уведомлении о нарушениях применяется только в тех случаях, когда незашифрованная персональная информация была получена или предполагается, что она была получена неуполномоченным лицом. |
| Колорадо | Закон применяется только к раскрытию незашифрованных компьютерных данных. |
| Коннектикут | Нарушение безопасности происходит только в том случае, если доступ к персональной информации не защищен шифрованием или любым другим методом или технологией, которые делают персональную информацию нечитаемой или непригодной для использования. |
| доляw | Закон распространяется на незашифрованные компьютерные данные. |
| Neв Йорке | Если личная информация зашифрована и ключ шифрования не получен, обязанность уведомлять не возникает. |
| Северная Каролина | Требование уведомления применяется только в том случае, если полученная персональная информация не зашифрована и не отредактирована. |
| Северная Дакота | Уведомление не требуется, если данные защищены шифрованием или любым другим методом или технологией, которые делают электронные файлы, носители или базы данных нечитаемыми или непригодными для использования. |
| Огайо | Если данные зашифрованы, отредактированы или изменены каким-либо методом или технологией таким образом, что элементы данных становятся нечитаемыми, уведомление не требуется. |
| Оклахома | Уведомление не требуется для зашифрованной или отредактированной информации, за исключением случаев, когда доступ к зашифрованной информации и ее получение осуществляются в незашифрованном виде или если нарушение безопасности касается лица, имеющего доступ к ключу шифрования, и это лицо или организация обоснованно полагают, что такое нарушение привело или приведет к краже личных данных или другому мошенничеству в отношении любого резидента этого штата. |
| Орегон | Если данные зашифрованы или отредактированы, уведомление не требуется. |
| Пенсильвания | Уведомление не требуется, когда осуществляется доступ и получение зашифрованной или отредактированной информации. Однако уведомление требуется, если осуществляется доступ и получение зашифрованной информации в незашифрованной форме, если нарушение безопасности связано с нарушением безопасности шифрования или если нарушение безопасности касается лица, имеющего доступ к ключу шифрования. |
| Род-Айленд | Если информация зашифрована, уведомление не требуется. |
| Южная Каролина | Если данные становятся непригодными для использования в результате шифрования, редактирования или других методов, уведомление потребителей не требуется. |
| Теннесси | Требование уведомления применяется только в тех случаях, когда персональные данные не были зашифрованы. |
| Техас | «Конфиденциальная персональная информация» применяется только к незашифрованным элементам данных. |
| Юта | Если персональные данные зашифрованы или защищены другим методом, который делает данные нечитаемыми или непригодными для использования, уведомление не требуется. |
| Вермонт | Данные не считаются персональной информацией, если и имя человека, и объединенный элемент данных (например, номер социального страхования) зашифрованы, отредактированы или защищены другим методом, который делает их нечитаемыми или непригодными для использования. |
| Виргиния | Несанкционированное получение зашифрованных или отредактированных данных без доступа к ключу шифрования не влечет за собой необходимость уведомления в соответствии с настоящим законом. |
| Вашингтон | Если зашифрованы как имя или инициалы имени и фамилии человека, так и сопутствующий элемент данных (например, номер социального страхования), уведомление не требуется. |
| Западная Вирджиния | Если зашифрованная или отредактированная информация была получена и получена, а у человека нет доступа к ключу шифрования, уведомление не требуется. |
| Висконсин | Если один из элементов данных, связанных с именем человека, зашифрован, отредактирован или изменен таким образом, что элемент становится нечитаемым, он не считается персональной информацией, а значит, уведомление не требуется. |
| Wyприближающийся | Если удаляются как имя или инициалы имени и фамилии человека, так и объединенный элемент данных (например, номер социального страхования), такие данные не считаются персональными идентифицирующими данными, и уведомление не требуется. |
| Округ Колумбия | Получение данных, которые были зашифрованы таким образом, что их невозможно использовать несанкционированному третьему лицу, не считается нарушением системы безопасности. |
| Гуам | Требование об уведомлении не применяется к зашифрованным данным, если только нарушение безопасности не касается лица, имеющего доступ к ключу шифрования, и это лицо или организация обоснованно полагает, что такое нарушение привело или приведет к краже личных данных или другому мошенничеству в отношении любого резидента Гуама. |
| Пуэрто-Рико | Этот закон вступает в силу только в случае раскрытия незашифрованной информации. |
| Виргинские острова | Закон применяется только в тех случаях, когда персональные данные не были зашифрованы. |
| Государства, в которых действие закона инициируется нарушением безопасности электронных и/или бумажных записей | |
| Аляска | «Нарушение безопасности» означает несанкционированное приобретение или обоснованное предположение о несанкционированном приобретении или личной информации, которое ставит под угрозу безопасность, конфиденциальность или целостность личной информации, хранящейся сборщиком информации. «Приобретение» включает: приобретение путем фотокопирования, факсимильной связи или иного бумажного метода; устройства, включая компьютер, который может считывать, записывать или хранить информацию, представленную в числовой форме; или метод, не определенный в этом пункте. |
| Hawац | Настоящий закон применяется к любому предприятию, которое владеет или лицензирует персональную информацию жителей Гавайев, к любому предприятию, которое ведет бизнес на Гавайях и владеет или лицензирует персональную информацию в любой форме (будь то компьютерная, бумажная или иная), или к любому государственному учреждению, которое собирает персональную информацию для определенных государственных целей. |
| Индиана | Нарушение безопасности данных означает несанкционированное получение компьютерных данных, которое ставит под угрозу безопасность, конфиденциальность или целостность личной информации, хранящейся у лица. Термин включает несанкционированное получение компьютерных данных, которые были перенесены на другой носитель, включая бумагу, микрофильм или аналогичный носитель, даже если переданные данные больше не находятся в компьютерном формате. |
| Айова | «Нарушение безопасности» означает несанкционированное получение персональной информации, хранящейся в компьютерной форме, лицом, которое ставит под угрозу безопасность, конфиденциальность или целостность персональной информации. «Нарушение безопасности» также означает несанкционированное получение персональной информации, хранящейся лицом на любом носителе, включая бумагу, которая была перенесена лицом на этот носитель из компьютерной формы и которая ставит под угрозу безопасность, конфиденциальность или целостность персональной информации. (Вступило в силу 1 июля 2014 г.) |
| Массачусетс | Нарушение безопасности — это несанкционированное получение или несанкционированное использование незашифрованных данных или зашифрованных электронных данных и конфиденциального процесса или ключа, способное поставить под угрозу безопасность, конфиденциальность или целостность личной информации, поддерживаемой лицом или агентством, что создает существенный риск кражи личных данных или мошенничества в отношении резидента Содружества. Данные — это любой материал, на котором записана или сохранена письменная, нарисованная, устная, визуальная или электромагнитная информация или изображения, независимо от физической формы или характеристик. |
| Северная Каролина | Закон применяется к любому предприятию, которое владеет или лицензирует персональную информацию в любой форме (будь то компьютерная, бумажная или иная), или к любому предприятию, которое хранит или владеет записями или данными, содержащими персональную информацию, которой предприятие не владеет или не лицензирует. |
| Висконсин | В настоящем законе не дается определения «нарушению безопасности», а определение «персональной информации» не ограничивается только компьютерной информацией. |
Лазарус Альянс, Инк. Публикации предназначены для информирования наших клиентов и других друзей Фирмы о текущих юридических событиях, представляющих общий интерес. Они не должны толковаться как юридические советы, и читатели не должны действовать на основе информации, содержащейся в этих публикациях, без профессиональной консультации.
