Beancount.io LogoBeancount.io

Закон за поверителност на данните в Тексас и мозайката от 20 щата: Наръчник за съответствие за 2026 г.

14 минути четенеMike ThriftMike Thrift
Закон за поверителност на данните в Тексас и мозайката от 20 щата: Наръчник за съответствие за 2026 г.

Докато завършите четенето на това изречение, някъде в Съединените щати потребител току-що е кликнал върху „Не продавайте и не споделяйте личната ми информация“. Ако вашият бизнес управлява уебсайт, пуска реклами или съхранява имейл адреси на клиенти, това единствено кликване може вече да ви задължава съгласно един или повече от двадесетте всеобхватни щатски закона за поверителност, които вече са в сила в цялата страна — и повечето собственици на малък бизнес нямат представа за това.

Законът за поверителност и сигурност на данните в Тексас (TDPSA) влезе в сила на 1 юли 2024 г. и Тексас стана най-населеният щат без всеобхватен закон за поверителност, който най-накрая прие такъв. Но TDPSA не е единствената история. Към 2026 г. двадесет щата имат активни всеобхватни закони за поверителност на потребителите, дванадесет щата изискват разпознаване на универсални сигнали за отказване, като Глобалния контрол на поверителността (GPC), а три чисто нови закона — в Индиана, Кентъки и Роуд Айлънд — влязоха в сила на 1 януари 2026 г. Периодите за отстраняване на нарушения (cure periods), които дадоха на законите в ранните щати техните „помощни колела“, изтичат през 2026 г., което означава, че прилагането ще стане много по-строго.

Това ръководство разяснява какво всъщност трябва да направите през 2026 г., за да държите регулаторите далеч от вратата си — без да купувате програма за поверителност за петдесет хиляди долара, от която нямате нужда.

Защо Тексас е по-важен, отколкото си мислите

Законът за поверителност на Тексас има една особеност, която го прави различен от всеки друг щатски закон: той не се интересува колко пари печелите или колко записи съхранявате. Той се интересува единствено от това дали отговаряте на определението за малък бизнес на Администрацията за малък бизнес на САЩ (SBA) — обикновено по-малко от 500 служители, с тавани на приходите за конкретния отрасъл.

Повечето щатски закони за поверителност (CCPA на Калифорния, VCDPA на Вирджиния, CPA на Колорадо, CTDPA на Кънектикът) свързват приложимостта с числови прагове: 100 000 потребители или 25 000 потребители, ако повече от половината от приходите ви идват от продажба на лични данни, или годишен брутен приход над 25 милиона долара. TDPSA отхвърля тези прагове.

Това създава странна инверсия. Една средна базирана в Тексас SaaS компания с 600 служители и скромни приходи може да бъде напълно обект на TDPSA, докато стартъп от Калифорния с високи приходи и 30 служители може да бъде освободен съгласно прага на SBA, но да бъде обект съгласно теста за приходи на CCPA. Ако развивате бизнес и в двата щата, не можете да изберете по-приятелския — трябва да спазвате този, който се прилага за потребителя, отправящ искането.

Изключението за чувствителни данни на TDPSA, което всъщност не съществува

Ето и уловката. Дори ако вашият бизнес се квалифицира като малък бизнес съгласно стандартите за размер на SBA и иначе е освободен от TDPSA, пак трябва да получите съгласието на потребителя, преди да продавате чувствителни лични данни. Така че „освободен“ не означава „правете каквото си искате“. Ако продавате имейл адреси, свързани със здравни интереси, религиозна принадлежност, точно геолокационно местоположение или биометрични идентификатори, имате нужда от съгласие за включване (opt-in), независимо от размера.

Картата на съответствието в 20-те щата

До 2026 г. всеобхватни закони за поверителност са в сила или предстои да влязат в сила в: Калифорния, Вирджиния, Колорадо, Кънектикът, Юта, Айова, Индиана, Тенеси, Монтана, Орегон, Тексас, Делауеър, Ню Хемпшир, Ню Джърси, Кентъки, Минесота, Мериленд, Роуд Айлънд, Небраска и Мериленд (Закон за поверителност на онлайн данните).

Повечето от тези закони следват структурата на „модела на Вирджиния“: права на достъп, коригиране, изтриване, преносимост и отказване, плюс задължения на администратора относно уведомяване, минимизиране на данните и ограничения на обработката. Калифорния стои на свой собствен остров с по-широкото обхващане на служители и B2B на CCPA/CPRA и уникалните разпоредби за одит на киберсигурността и автоматизирано вземане на решения.

Практическият извод: изграждайте според най-строгия общ знаменател, а не за всеки щат поотделно. Програма за поверителност, настроена спрямо изискванията на Калифорния, Колорадо и Тексас, ще обхване задълженията съгласно всички останали 17 щатски закона.

Потребителски права, които трябва да уважите в рамките на четиридесет и пет дни

В почти всеки щатски закон потребителите имат едни и същи основни права:

  • Достъп — те могат да попитат какви лични данни съхранявате за тях.
  • Корекция — те могат да изискат от вас да коригирате неточни данни.
  • Изтриване — те могат да изискат от вас да изтриете техните данни (с изключения за правни задържания, предотвратяване на измами, вътрешна употреба).
  • Преносимост — те могат да изискат машинно четливо копие.
  • Отказ от продажба, целенасочена реклама и профилиране — три отделни права за отказване, групирани в повечето щати.

Повечето закони ви дават 45 дни за отговор, с удължаване от 45 дни, когато е разумно необходимо. CCPA на Калифорния дава 45 дни с 45-дневно удължаване. Тексас дава 45 дни с 45-дневно удължаване. Нуждаете се от работен процес за удостоверени заявки, който приема, проверява, изпълнява и регистрира — и трябва той да може да се мащабира отвъд един претоварен юридически имейл адрес.

Какво означава „автентифициран“ на практика

Не можете просто да приемате всяка заявка за чиста монета. Ако някой изпрати имейл с думите „изтрийте всичките ми данни“, трябва да потвърдите, че това лице действително е субектът на данните. Често срещаните подходи за проверка включват:

  • Потвърждаване на заявката чрез влизане в акаунта.
  • Съпоставяне на предоставената информация със записите в базата данни.
  • Изпращане на имейл за потвърждение с еднократен код.
  • Изискване на нотариално заверена декларация за високорискови заявки (рядко; запазено за случаи, в които загубата на данни би била катастрофална).

Липсата на удостоверяване създава два риска: изтриване на данни заради измамник (атака чрез изтриване) или разкриване на лични данни на грешното лице (нарушение на поверителността). И двете са нарушения.

Глобален контрол на поверителността: Единен браузърен сигнал, който задейства десетки закони

Най-важната техническа промяна за съответствие през 2026 г. е Глобалният контрол на поверителността (Global Privacy Control - GPC). Това е сигнал на ниво браузър, който автоматично казва на всеки уебсайт, посещаван от потребителя: „Отказвам се от продажбата или споделянето на личната ми информация.“

До 1 януари 2026 г. дванадесет щата изискват от бизнеса да зачита GPC като валидна заявка за отказ: Калифорния, Колорадо, Кънектикът, Монтана, Небраска, Ню Хемпшир, Ню Джърси, Минесота, Мериленд, Делауеър, Орегон и Тексас. Някои от тези щати изрично назовават GPC; други просто изискват признаване на всеки „универсален механизъм за отказ“, а GPC е доминиращото изпълнение.

Какво означава това технически: вашият уебсайт трябва да чете HTTP заглавката Sec-GPC (или еквивалента в navigator API) при всяка заявка и когато види сигнала, да преустанови продажбата на данни, поведенческата реклама в различен контекст и споделянето — без да подканва потребителя. Без банер за бисквитки. Без допълнително кликване. Просто преустановявате.

Калифорния добави изискване за показване през 2026 г.: предприятията трябва видимо да посочват дали сигналът за предпочитание за отказ на потребителя е бил обработен. Индикатор „Заявката за отказ е изпълнена“ (Opt-Out Request Honored) на страницата е нововъзникващият стандарт. Пропуснете това и регулатор (или сериен ищец) може да твърди, че не сте предоставили известие, че отказът е бил приет.

Капанът на рекламната верига

Тук повечето компании се провалят. Зачитането на GPC на ниво страница е лесно. Зачитането му в целия ви последващ рекламен стек — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, всеки доставчик на динамичен ретаргетинг — е трудно. Всеки от тези доставчици има свой собствен флаг за отказ, сигнал или параметър на пиксела, който трябва да зададете, когато бъде открит GPC. Пропуснете дори един и ще продължите да споделяте данни с този доставчик в нарушение на държавния закон.

Одитирайте своя мениджър на тагове (tag manager). За всеки доставчик, който се задейства на вашия сайт, документирайте как той зачита GPC. Не се доверявайте на маркетингови твърдения — тествайте с браузър с активиран GPC и мрежов анализатор (sniffer).

Чувствителни данни: Изисква се изрично съгласие (Opt-In)

В почти всеки щатски закон обработката на чувствителни лични данни изисква изрично съгласие (opt-in). Чувствителните данни обикновено включват:

  • Номера на социални осигуровки, номера на шофьорски книжки, номера на паспорти, идентификационни данни за финансови сметки.
  • Биометрични данни, използвани за идентифициране на лице.
  • Здравна и медицинска информация, която не е обхваната от HIPAA.
  • Точна геолокация (често дефинирана като радиус от 1750 фута или подобен).
  • Расов или етнически произход.
  • Религиозни вярвания.
  • Сексуална ориентация, полова идентичност.
  • Гражданство или имиграционен статус.
  • Лични данни на деца (под 13 години, понякога под 16 години).

Съгласието трябва да бъде свободно дадено, конкретно, информирано и еднозначно. Предварително отметнатите квадратчета не се броят. Обединяването на съгласието в рамките на общо приемане на условията за ползване не се брои. Скритите разкрития не се броят. Ако обработвате чувствителни данни, имате нужда от специален процес за съгласие с ясен език и запис на това как, кога и къде е получено съгласието.

Споразумения за обработка на данни: Договорите с доставчици вече са изискване за съответствие

Всеки щатски закон за поверителност изисква фирмите, споделящи лични данни с доставчици на трети страни (наричани „обработващи“ или „доставчици на услуги“), да подпишат писмен договор — Споразумение за обработка на данни (Data Processing Agreement - DPA) — уреждащ тези данни.

Едно съвместимо DPA през 2026 г. трябва:

  1. Да уточнява естеството, целта и продължителността на обработката.
  2. Да идентифицира видовете данни и категориите засегнати потребители.
  3. Да обвързва обработващия със задължения за поверителност.
  4. Да изисква от обработващия да съдейства при заявки за правата на потребителите.
  5. Да изисква от обработващия да изтрие или върне данните при прекратяване на договора.
  6. Да позволява одити и да изисква прехвърляне на задълженията към подизпълнители.
  7. Да ограничава трансграничните трансфери и да налага задължения за сигурност.

Ако използвате SaaS инструменти — Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace — трябва да имате DPAs с всички тях. Повечето големи доставчици предлагат стандартни DPAs. Пропуските се случват с нишови инструменти, фрийлансъри, изпълнители и еднократни интеграции, за които никой не е мислил като за „доставчици“.

Оценки на защитата на данните: Кога трябва да документирате риска

Повечето щатски закони изискват Оценки на защитата на данните (DPAs — объркващо, същото съкращение като Споразумение за обработка на данни на английски) за дейности по обработка, които представляват повишен риск. Дейностите, които задействат това, включват:

  • Обработка за целите на целева реклама.
  • Продажба на лични данни.
  • Профилиране, което поражда правни или подобни значими последици.
  • Обработка на чувствителни данни.
  • Всяка обработка, представляваща повишен риск от вреда.

Тексас, Вирджиния, Колорадо, Кънектикът и други изискват тези оценки. Оценката трябва да претегли ползите за администратора, потребителя, обществото и обработващия спрямо рисковете за потребителя, като смекчаващите мерки бъдат документирани. Съхранявайте ги в архива си. Регулаторите могат да ги изискат официално по време на разследване.

Крахът на гратисния период: Защо 2026 г. е различна

Първите щатски закони за поверителност на личните данни включваха разпоредби за „право на отстраняване на нарушението“ — гратисен период от 30 или 60 дни след издаване на известие за нарушение от регулатор, по време на който бизнесът можеше да коригира проблема, преди да бъде наложена каквато и да е санкция. Това беше замислено като „помощни колела“ за бизнеса.

През 2026 г. тези помощни колела се премахват. Гратисните периоди за отстраняване на нарушения изтичат през 2026 г. в Кънектикът, Делауеър, Кентъки, Минесота и Монтана. Съвсем новият закон на Роуд Айлънд изначално не предвижда такъв период. Гратисният период в Калифорния изтече преди години.

Тексас запази своя 30-дневен период за отстраняване без краен срок, което е необичайно щедро. Но глобите след този 30-дневен прозорец достигат до 7500 долара на нарушение. При искове за поверителност на потребителите „на нарушение“ често означава за всеки засегнат потребител — умножете това по вашата клиентска база и сметката бързо става плашеща.

Свързване на съответствието с поверителността към вашето счетоводство

Съответствието с правилата за поверителност засяга финансите повече, отколкото повечето мениджъри осъзнават. По-специално в три области:

Разпределяне на разходите за доставчици. Доставчиците на услуги за съответствие — платформи за управление на съгласието, инструменти за изпълнение на искания за достъп до данни (DSAR), услуги за проверка на самоличността, хонорари за консултанти по поверителност — са оперативни разходи, които трябва да проследявате отделно. Така ще можете да докладвате разходите за съответствие на вашия борд и да вземате решения за ROI (възвръщаемост на инвестициите) относно това при кои закони да надвишите изискванията и къде да приемете риск.

Резерв за пробиви. Повечето щатски закони не изискват изрично заделяне на средства за потенциални пробиви в сигурността, но ако обработвате чувствителни данни в големи мащаби, изграждането на резерв за условни пасиви е добра хигиена. Дори малките пробиви водят до разходи за уведомяване, предложения за мониторинг на кредита и такси за форензични разследвания, които могат да достигнат шестцифрени суми.

Документация за застраховка. Застрахователите на кибер отговорност все по-често изискват документация за вашата програма за поверителност при подновяване на полицата — писмени политики, опис на споразуменията за обработка на данни (DPA), тестване на внедряването на GPC, журнали за отговори на DSAR. Поддържането на чисти записи може да повлияе значително на размера на застрахователните премии.

Точното счетоводство с ясен сметкоплан, който разделя разходите за съответствие, разходите за доставчици и резервите за реагиране на инциденти, прави годишните прегледи на бюджета, докладите пред борда и подновяването на застраховките много по-лесни.

Практическият технологичен стек за съответствие през 2026 г.

Ако започвате от нулата, ето минимално жизнеспособната програма за поверителност за малък или среден бизнес в САЩ през 2026 г.:

  1. Идентифицирайте кои закони са приложими. Съпоставете вашата клиентска база, брой служители и приходи с праговете за приложимост на всеки щат.
  2. Публикувайте единно консолидирано известие за поверителност, което удовлетворява най-строгия приложим закон. Включете оповестявания за чувствителни данни, продажба/споделяне на данни, цели на обработката, периоди на съхранение, права на потребителите и канал за контакт.
  3. Създайте работен процес за DSAR. Изберете инструмент (или структуриран процес с имейл и електронни таблици, ако сте малка фирма), който приема, удостоверява, изпълнява и регистрира исканията в рамките на 45 дни.
  4. Внедрете поддръжка на GPC. Разчитайте сигнала на ниво страница. Спирайте доставчиците на услуги за продажба и целева реклама, когато сигналът е зададен. Показвайте индикатор за прието отписване (opt-out), ако имате трафик от Калифорния.
  5. Подпишете DPA с всеки доставчик. Направете опис на всички доставчици. Подпишете Споразумението за обработка на данни (DPA). Съхранявайте го на леснодостъпно място.
  6. Провеждайте оценки на въздействието (DPA) за обработка с висок риск. Документирайте всяка една. Архивирайте ги.
  7. Създайте поток за съгласие за чувствителни данни с изрично потвърждение (opt-in) и записани доказателства.
  8. Документирайте вашата програма за сигурност. Повечето щатски закони изискват „разумна“ сигурност. Разумната сигурност включва писмени политики, контрол на достъпа, криптиране при пренос и в покой, управление на уязвимостите и процедури за реагиране при инциденти.

Чести грешки, които малките предприятия допускат

  • Предположението, че изключението за малък бизнес на SBA ви освобождава напълно от TDPSA. Не е така — обработката на чувствителни данни все още изисква съгласие.
  • Третирането на банерите за бисквитки като пълна програма за поверителност. Банерите са само една тактика. Те не заместват процесите за DSAR, споразуменията DPA или поддръжката на GPC.
  • Игнориране на веригата от доставчици. Вашите споразумения DPA с доставчици трябва да изискват от тях да прехвърлят задълженията към своите под-обработващи органи. Повечето стандартни DPA покриват това, но четете внимателно, преди да подпишете.
  • Третирането на отписванията (opt-outs) като маркетингови решения. Уважаването на отписването е законово изискване, а не предпочитание. Спрете потока от данни, дори ако това вреди на ефективността на ретаргетирането.
  • Допускане на изтичане на гратисните периоди преди предприемане на действия. Ако получите известие за нарушение, имате ограничен времеви прозорец. Действайте незабавно, документирайте корекцията и получете писмено потвърждение от регулатора.

Поддържайте записите си за съответствие чисти от първия ден

Докато изграждате програма за съответствие в условията на много щатски закони, ще натрупате фактури от доставчици, хонорари на консултанти, застрахователни премии и разходи за реагиране на инциденти, които трябва да бъдат проследявани, категоризирани и отчитани. Beancount.io предоставя счетоводство в обикновен текстов формат, което ви дава пълна прозрачност и контрол на версиите върху вашите финансови данни — което прави годишните отчети пред борда, подновяването на застраховките и анализите на разходите за съответствие драстично по-лесни, отколкото борбата с „черна кутия“ на счетоводната книга. Започнете безплатно и вижте защо разработчиците, финансовите специалисти и експертите по поверителност се доверяват на счетоводството в обикновен текст за своите бизнес книги.