מדינת קונטיקט היא החמישית בארצות-הברית שמחוקקת חוק מדינתי מקיף להגנת הפרטיות - בעקבות יוטה, קליפורניה, וירג'יניה וקולורדו. שני בתי המחוקקים בקונטיקט אישרו בקריאה סופית את החוק החדש בסוף אפריל והמושל חתם על אישור החוק ב-10 במאי.
החוק החדש צפוי להיכנס לתוקף ב-1 ביולי 2023. הוראות החוק החדש דומות במידה רבה לחוקים המקבילים בוירג'יניה ובקולורדו. החוק יחול על כל עסק שיש לו פעילות בקונטיקט או שמייעד את מוצריו או שירותיו לתושבי המדינה, ובלבד שהוא מעבד מידע על 100,000 או יותר תושבי קונטיקט בשנה (למעט עיבוד מידע שנדרש רק לשם טרנסאקציית תשלום), או שהוא מעבד מידע על 25,000 תושבים או יותר ובה-בעת יותר מרבע ממחזור עסקיו ברוטו נובע ממכירת מידע אישי. החוק מונה מקרים נוספים בהם הוא לא יחול, כדוגמת עיבוד מידע הכפוף לחוק הפדרלי על מידע רפואי (HIPAA), החוק הפדרלי על דירוגי אשראי (FCRA), או מידע שעסק מעבד על עובדיו, יועצים עצמאיים שלו או מועמדים למשרה אצלו.
החוק החדש יקנה לנושאי מידע מגוון זכויות, לרבות -
- היכולת לברר האם העסק מעבד מידע אודותיו, ואם כן - לקבל גישה למידע.
- לתקן מידע שגוי שהעסק מחזיק עליו.
- לדרוש במקרים מסוימים מחיקת מידע אישי שהעסק מחזיק עליו.
- הזכות לנייד את המידע לעסק אחר באמצעות קבלתו בפורמט קריא-למכונה.
- להורות לעסק שלא יעשה שימוש במידע אישי אודותיו לצורך פרסום ממוקד ושהמידע אודותיו לא יימכר.
- להורות שלא ייבנה עליו פרופיל אישי המיועד לקבלת החלטות אוטומטיות בקשר אליו.
החוק גם קובע רף משמעותי של הוראות הגנת מידע לעסקים, הכולל:
- דרישות לצמידות-מטרה ומזעור מידע.
- יישום אמצעי אבטחת מידע סבירים.
- איסור עיבוד מידע רגיש ללא קבלת הסכמה מפורשת ומראש. מידע רגיש כולל מידע הנוגע למצבו הבריאותי של אדם, מוצא או גזע, אמונה דתית, נטיה מינית וחיי מין, אזרחות וסטטוס הגירה, מידע ביומטרי או גנטי המיועד לזהות באופן ייחודי אדם, נתוני מיקום מדויקים, וכל מידע אישי שנאסף מקטינים מתחת לגיל 13.
- חובת פרסום מדיניות פרטיות מפורטת.
- חובת עריכת תסקיר השפעה על הפרטיות במקרים בהם עיבוד המידע כרוך בסיכון ניכר לפרטיות של נושא המידע.
- חובות חוזיות ותפעוליות במערכת היחסים בין בעל שליטה במידע לבין מי שמעבד מידע עבורו.
אכיפת החוק החדש מסורה באופן בלעדי לתובע הכללי של קונטיקט. בשנה וחצי הראשונות לתחולת החוק התובע הכללי מחויב לשגר מכתבי התראה ולהעניק לעסקים מפרים 60 יום לתקן את ההפרה (כאשר ריפוי ההפרה אפשרי). החל מתום 18 החודשים הראשונים לתחולת החוק, מתן הזדמנות לתיקון ההפרה נתונה לשיקול דעתו של התובע הכללי.