מושל מדינת מרילנד בארצות-הברית חתם בשבוע שעבר על אישור חוק הפרטיות המדינתי של מרילנד. החוק ייכנס לתוקף ב-1 באוקטובר 2025. הוא יחיל על על ארגונים למטרת רווח שכבעלי מאגר (controller) או כמחזיקי מאגר עבור אחרים (processor),מעבדים מידע אישי על 35,000 או יותר מתושבי המדינה בשנה, או שהם מעבדים מידע אישי לצורך מכירתו על 10,000 או יותר מתושבי המדינה ומפיקים מכך לפחות 20% ממחזור העסקים שלהם. החוק כולל שורה של החרגות שבהן הוא לא יחול, לדוגמה, כאשר מדובר במידע אישי שנושא המידע פרסם על עצמו ברבים, או כשמדובר במידע על אדם בכשירותו כעובד.

החוק מקנה שורה של זכויות לנושאי מידע, בהן הזכות למחוק או לתקן מידע והזכות לקבל עותק מהמידע שעסק מחזיק על נושא המידע. החוק גם מקנה לנושאי מידע זכות לקבל את המידע עליהם בפורמט דיגיטלי בר-ניוד (portable). הוא גם מאפשר לנושאי מידע להורות שלא למכור את המידע עליהם ולא להשתמש בו לצורכי פרסום ממוקד ברשת או לצורך קבלת החלטות אוטומטיות בעלות השפעה משמעותית על נושא המידע.

החברות לא רשאיות לעבד מידע אישי רגיש, כדוגמת מידע רפואי או ביומטרי, אלא אם העיבוד הכרחי לצורך אספקת מוצר או שירות שאותו נושא מידע ביקש. תרחישים של עיבוד מידע הנחשבים לרגישים, כדוגמת מכירת מידע אישי, מחייבים עריכת תסקיר השפעה על הפרטיות. החוק גם מחייב חברות לפרסם מדיניות פרטיות, ואם הן נעזרות בגורם אחר שמעבד את המידע עבורן, הצדדים נדרשים לחתום על חוזה המסדיר את עיבוד המידע.