Beancount.io LogoBeancount.io

Техаський закон про конфіденційність даних та мозаїка з 20 штатів: Посібник із відповідності на 2026 рік

13 хв. читанняMike ThriftMike Thrift
Техаський закон про конфіденційність даних та мозаїка з 20 штатів: Посібник із відповідності на 2026 рік

До того моменту, як ви закінчите читати це речення, десь у Сполучених Штатах споживач щойно натиснув кнопку «Не продавайте та не передавайте мою особисту інформацію». Якщо ваш бізнес керує вебсайтом, запускає рекламу або зберігає електронні адреси клієнтів, цей єдиний клік уже може накладати на вас зобов'язання згідно з одним або декількома з двадцяти комплексних законів штатів про конфіденційність, які зараз діють по всій країні — і більшість власників малого бізнесу про це навіть не здогадуються.

Закон Техасу про конфіденційність та безпеку даних (TDPSA) набув чинності 1 липня 2024 року, і Техас став найбільш густонаселеним штатом без комплексного закону про конфіденційність, який нарешті його прийняв. Але TDPSA — це не єдина історія. Станом на 2026 рік у двадцяти штатах діють комплексні закони про конфіденційність споживачів, дванадцять штатів вимагають розпізнавання універсальних сигналів відмови, таких як Global Privacy Control (GPC), а три зовсім нові закони — в Індіані, Кентуккі та Род-Айленді — запрацювали 1 січня 2026 року. Періоди для усунення порушень (cure periods), які давали законам перших штатів час на адаптацію, закінчуються протягом 2026 року, а це означає, що контроль за виконанням ось-от стане жорсткішим.

Цей посібник розкриває, що вам насправді потрібно зробити у 2026 році, щоб тримати регуляторів подалі від ваших дверей — без купівлі програми конфіденційності за п'ятдесят тисяч доларів, яка вам не потрібна.

Чому Техас важливіший, ніж ви думаєте

Закон Техасу про конфіденційність має одну особливість, яка відрізняє його від законів будь-якого іншого штату: йому байдуже, скільки грошей ви заробляєте або скільки записів зберігаєте. Його цікавить лише те, чи відповідаєте ви визначенню малого бізнесу Адміністрації малого бізнесу США (SBA) — зазвичай це менше ніж 500 співробітників, із галузевими обмеженнями щодо доходу.

Більшість законів штатів про конфіденційність (CCPA Каліфорнії, VCDPA Вірджинії, CPA Колорадо, CTDPA Коннектикуту) пов'язують застосовність із числовими порогами: 100 000 споживачів або 25 000 споживачів, якщо більше половини вашого доходу припадає на продаж особистих даних, або річний валовий дохід понад 25 мільйонів доларів. TDPSA відкидає ці пороги.

Це створює дивну інверсію. Середня SaaS-компанія з Техасу із 600 співробітниками та скромним доходом може повністю підпадати під дію TDPSA, тоді як стартап із Каліфорнії з високим доходом і 30 співробітниками може бути звільнений згідно з порогом SBA, але підпадати під дію тесту доходу CCPA. Якщо ви ведете бізнес в обох штатах, ви не можете обрати той, що вам зручніше — ви повинні дотримуватися того закону, який застосовується до споживача, що подає запит.

Виняток для конфіденційних даних у TDPSA, якого насправді немає

Ось підступна частина. Навіть якщо ваш бізнес кваліфікується як малий бізнес згідно зі стандартами розміру SBA і в іншому випадку звільнений від TDPSA, ви все одно повинні отримати згоду споживача перед продажем конфіденційних особистих даних. Отже, «звільнений» не означає «робіть що хочете». Якщо ви продаєте електронні адреси, пов'язані зі станом здоров'я, релігійною приналежністю, точним геопозиціонуванням або біометричними ідентифікаторами, вам потрібна активна згода (opt-in) незалежно від розміру бізнесу.

Карта комплаєнсу у 20 штатах

До 2026 року комплексні закони про конфіденційність діють або ось-от набудуть чинності в таких штатах: Каліфорнія, Вірджинія, Колорадо, Коннектикут, Юта, Айова, Індіана, Теннессі, Монтана, Орегон, Техас, Делавер, Нью-Гемпшир, Нью-Джерсі, Кентуккі, Міннесота, Меріленд, Род-Айленд, Небраска та Меріленд (Закон про конфіденційність даних в Інтернеті).

Більшість цих законів дотримуються структури «моделі Вірджинії»: права на доступ, виправлення, видалення, перенесення та відмову, а також зобов'язання контролера щодо повідомлення, мінімізації даних та обмежень обробки. Каліфорнія стоїть окремо зі своїм CCPA/CPRA, що має ширше охоплення працівників і B2B-сегмента, а також унікальні правила аудиту кібербезпеки та автоматизованого прийняття рішень.

Практичний висновок: будуйте систему за найсуворішим спільним знаменником, а не для кожного штату окремо. Програма конфіденційності, налаштована відповідно до вимог Каліфорнії, Колорадо та Техасу, охопить зобов'язання за всіма іншими 17 законами штатів.

Права споживачів, які ви повинні забезпечити протягом сорока п'яти днів

Майже в кожному законі штату споживачі мають однакові основні права:

  • Доступ — вони можуть запитати, які особисті дані ви зберігаєте про них.
  • Виправлення — вони можуть вимагати від вас виправити неточні дані.
  • Видалення — вони можуть вимагати від вас видалити їхні дані (за винятком випадків юридичного утримання, запобігання шахрайству, внутрішнього використання).
  • Портативність — вони можуть вимагати копію в машинозчитуваному форматі.
  • Відмова від продажу, тартованої реклами та профілювання — три окремі права на відмову, об'єднані в більшості штатів.

Більшість законів дають вам 45 днів на відповідь з можливістю продовження на 45 днів, якщо це обґрунтовано необхідно. CCPA Каліфорнії дає 45 днів із 45-денним продовженням. Техас дає 45 днів із 45-денним продовженням. Вам потрібен робочий процес автентифікації запитів, який приймає, перевіряє, виконує та реєструє запити — і він має масштабуватися, щоб це не була лише одна перевантажена електронна скринька юридичного відділу.

Що означає «автентифікований» на практиці

Ви не можете просто приймати запит на віру. Якщо хтось надсилає електронний лист із повідомленням «видаліть усі мої дані», ви повинні переконатися, що ця особа дійсно є суб’єктом даних. Загальні підходи до перевірки включають:

  • Підтвердження запиту через вхід в обліковий запис.
  • Зіставлення наданої інформації з даними в записах.
  • Надсилання електронного листа для підтвердження з одноразовим кодом.
  • Вимога нотаріально завіреної заяви для запитів із високим ризиком (рідко; зарезервовано для випадків, коли втрата даних була б катастрофічною).

Відсутність автентифікації створює два ризики: ви видаляєте дані для самозванця (атака на видалення) або розкриваєте персональні дані не тій особі (порушення конфіденційності). Обидва є порушеннями.

Global Privacy Control: єдиний сигнал браузера, що запускає дію десятка законів

Найважливішою технічною зміною щодо відповідності вимогам (комплаєнсу) на 2026 рік є Global Privacy Control (GPC). Це сигнал на рівні браузера, який автоматично повідомляє кожному вебсайту, який відвідує користувач: «Я відмовляюся від продажу або обміну моєю особистою інформацією».

До 1 січня 2026 року дванадцять штатів вимагають від компаній поважати GPC як дійсний запит на відмову: Каліфорнія, Колорадо, Коннектикут, Монтана, Небраска, Нью-Гемпшир, Нью-Джерсі, Міннесота, Меріленд, Делавер, Орегон і Техас. Деякі з цих штатів прямо назвали GPC; інші просто вимагають визнання будь-якого «універсального механізму відмови», і GPC є домінуючою реалізацією.

Що це означає технічно: ваш вебсайт повинен зчитувати HTTP-заголовок Sec-GPC (або еквівалент API navigator) у кожному запиті, і коли він бачить сигнал, припиняти продаж даних, крос-контекстну поведінкову рекламу та обмін — без запиту користувача. Жодних банерів про кукі. Жодних додаткових кліків. Просто припинити обробку.

Каліфорнія додала вимогу щодо відображення у 2026 році: підприємства повинні візуально вказувати, чи був оброблений сигнал про відмову споживача. Індикатор «Запит на відмову виконано» на сторінці стає новим стандартом. Пропустіть це, і регулятор (або серійний позивач) зможе стверджувати, що ви не надали повідомлення про прийняття відмови.

Пастка рекламного стеку

Ось де більшість компаній зазнають невдачі. Дотримуватися GPC на рівні сторінки легко. Дотримуватися його у вашому подальшому рекламному стеку — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, кожному постачальнику динамічного ретаргетингу — важко. Кожен із цих постачальників має власний прапор відмови, сигнал або параметр пікселя, який ви повинні встановити при виявленні GPC. Пропустіть один, і ви продовжите ділитися даними з цим постачальником, порушуючи закон штату.

Проведіть аудит свого менеджера тегів. Для кожного вендора, який працює на вашому сайті, задокументуйте, як він дотримується GPC. Не довіряйте маркетинговим заявам — перевіряйте за допомогою браузера з увімкненим GPC та мережевого сніффера.

Чутливі дані: необхідна згода на участь (Opt-In)

Майже в кожному законі штату обробка чутливих персональних даних вимагає активної згоди на участь (opt-in). Чутливі дані зазвичай включають:

  • Номери соціального страхування, номери водійських прав, номери паспортів, облікові дані фінансових рахунків.
  • Біометричні дані, що використовуються для ідентифікації особи.
  • Інформація про здоров'я та медична інформація, яка ще не охоплена HIPAA.
  • Точна геолокація (часто визначається як у межах 1750 футів або подібного радіусу).
  • Расове або етнічне походження.
  • Релігійні переконання.
  • Сексуальна орієнтація, гендерна ідентичність.
  • Громадянство або імміграційний статус.
  • Персональні дані дітей (віком до 13 років, іноді до 16).

Згода має бути вільною, конкретною, поінформованою та однозначною. Попередньо встановлені прапорці не враховуються. Об’єднання згоди в загальне прийняття умов обслуговування не враховується. Приховані розкриття інформації не враховуються. Якщо ви обробляєте чутливі дані, вам потрібен окремий процес отримання згоди з чітким формулюванням і записом про те, як, коли і де була отримана згода.

Угоди про обробку даних: договори з постачальниками тепер є вимогою комплаєнсу

Закон про конфіденційність кожного штату вимагає, щоб компанії, які передають персональні дані стороннім постачальникам (так званим «обробникам» або «постачальникам послуг»), підписували письмовий договір — Угоду про обробку даних (DPA), що регулює ці дані.

Відповідна DPA у 2026 році повинна:

  1. Визначати характер, мету та тривалість обробки.
  2. Ідентифікувати типи даних і категорії залучених споживачів.
  3. Зобов'язувати обробника дотримуватися зобов'язань щодо конфіденційності.
  4. Вимагати від обробника допомоги із запитами щодо прав споживачів.
  5. Вимагати від обробника видалити або повернути дані після припинення дії договору.
  6. Дозволяти аудити та вимагати виконання зобов'язань суб'обробниками.
  7. Обмежувати транскордонну передачу та встановлювати зобов'язання щодо безпеки.

Якщо ви використовуєте SaaS-інструменти — Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace — вам потрібно мати підписані DPA з усіма ними. Більшість великих постачальників пропонують DPA у форматі click-through. Проблеми виникають із нішевими інструментами, фрілансерами, підрядниками та разовими інтеграціями, про які ніхто не думав як про «постачальників».

Оцінка захисту даних: коли потрібно документувати ризики

Більшість законів штатів вимагають проведення Оцінки захисту даних (DPA — заплутано, але така ж абревіатура, як і для Угоди про обробку даних), якщо діяльність з обробки становить підвищений ризик. Дії-тригери включають:

  • Обробка для таргетованої реклами.
  • Продаж персональних даних.
  • Профілювання, яке має юридичні або подібні значущі наслідки.
  • Обробка чутливих даних.
  • Будь-яка обробка, що становить підвищений ризик заподіяння шкоди.

Техас, Вірджинія, Колорадо, Коннектикут та інші вимагають цього. Оцінка має зважувати вигоду для контролера, споживача, громадськості та обробника проти ризиків для споживача з документуванням заходів з мінімізації ризиків. Зберігайте їх у себе. Регулятори можуть вимагати їх під час розслідування.

Прірва періоду виправлення: чому 2026 рік буде іншим

Перші закони штатів про конфіденційність містили положення про «право на виправлення» — 30- або 60-денний пільговий період після того, як регулятор надіслав повідомлення про порушення, протягом якого бізнес міг виправити проблему до нарахування будь-яких штрафів. Це було задумано як «допоміжні колеса» для адаптації.

У 2026 році ці колеса знімають. Терміни дії періодів виправлення закінчуються протягом 2026 року в Коннектикуті, Делавері, Кентуккі, Міннесоті та Монтані. Новий закон Род-Айленда взагалі не передбачав періоду виправлення від самого початку. Термін дії періоду виправлення в Каліфорнії закінчився ще кілька років тому.

Техас зберіг свій 30-денний період виправлення без обмеження терміну дії, що є незвично щедрим кроком. Проте штрафи після цього 30-денного вікна становлять до $7,500 за кожне порушення. У позовах щодо конфіденційності споживачів «за порушення» часто означає «за кожного постраждалого споживача» — помножте це на вашу базу клієнтів, і математика швидко стає загрозливою.

Зв'язок між дотриманням приватності та вашою бухгалтерією

Дотримання вимог конфіденційності (комплаєнс) стосується фінансів більше, ніж усвідомлює більшість операторів. Зокрема, у трьох сферах:

Розподіл витрат на постачальників. Постачальники послуг з комплаєнсу — платформи керування згодою, інструменти виконання запитів суб'єктів даних (DSAR), сервіси верифікації особи, гонорари юристів з питань приватності — це операційні витрати, які слід відстежувати окремо. Це дозволить вам звітувати про вартість комплаєнсу перед радою директорів і приймати рішення щодо ROI: які закони варто виконувати з надлишком, а де краще прийняти ризики.

Резерв на випадок витоку даних. Більшість законів штатів не вимагають прямого резервування коштів на випадок можливих витоків, але якщо ви обробляєте великі обсяги чутливих даних, створення резерву під умовні зобов'язання є ознакою хорошої фінансової гігієни. Навіть невеликі витоки тягнуть за собою витрати на сповіщення, пропозиції з моніторингу кредитної історії та гонорари за криміналістичну експертизу, які можуть сягати шестизначних сум.

Документація для страхування. Страховики кібервідповідальності під час поновлення полісів дедалі частіше вимагають документацію вашої програми приватності: письмові політики, інвентаризацію угод про обробку даних (DPA), тестування впровадження GPC, журнали відповідей на запити DSAR. Наявність чіткої звітності може суттєво вплинути на розмір страхових премій.

Точний бухгалтерський облік із чітким планом рахунків, який відокремлює витрати на комплаєнс, витрати на постачальників і резерви на реагування на інциденти, робить річні бюджетні огляди, звіти для ради директорів і поновлення страхування значно менш болючими.

Практичний набір інструментів для комплаєнсу у 2026 році

Якщо ви починаєте з нуля, ось мінімально життєздатна програма приватності для малого або середнього бізнесу в США на 2026 рік:

  1. Визначте, які закони застосовуються. Співставте вашу клієнтську базу, кількість працівників і дохід із порогами застосовності кожного штату.
  2. Опублікуйте єдине консолідоване повідомлення про конфіденційність, яке відповідає найсуворішому з чинних законів. Включіть розкриття інформації про чутливі дані, продаж/поширення даних, цілі обробки, терміни зберігання, права споживачів і канал зв'язку.
  3. Побудуйте робочий процес для DSAR. Оберіть інструмент (або структурований процес «електронна пошта + таблиця», якщо ви малий бізнес) для прийому, автентифікації, виконання та реєстрації запитів протягом 45 днів.
  4. Впровадьте підтримку GPC. Зчитуйте сигнал Global Privacy Control на рівні сторінки. Припиняйте передачу даних постачальникам послуг з продажу та таргетованої реклами, якщо встановлено відповідний сигнал. Відображайте індикатор підтвердження відмови, якщо у вас є трафік із Каліфорнії.
  5. Підпишіть DPA з кожним постачальником. Проведіть інвентаризацію всіх вендорів. Підпишіть угоду про обробку даних (DPA). Зберігайте її там, де зможете легко знайти.
  6. Проводьте оцінку DPA для процесів з високим ризиком. Документуйте кожну з них. Зберігайте їх у справах.
  7. Налаштуйте потік отримання згоди на обробку чутливих даних з активним підтвердженням (opt-in) та фіксацією доказів.
  8. Задокументуйте вашу програму безпеки. Більшість законів штатів вимагають «розумного» рівня безпеки. Це передбачає письмові політики, контроль доступу, шифрування під час зберігання та передачі, керування вразливостями та процедури реагування на інциденти.

Типові помилки малого бізнесу

  • Припущення, що виняток для малого бізнесу SBA повністю звільняє вас від TDPSA. Це не так — обробка чутливих даних все одно потребує згоди.
  • Сприйняття банерів для файлів cookie як повноцінної програми приватності. Банери — це лише одна тактика. Вони не замінюють процеси DSAR, угоди DPA або підтримку GPC.
  • Ігнорування ланцюжка зобов'язань постачальників. Ваші DPA з постачальниками мають вимагати від них передачі відповідних зобов'язань їхнім субпідрядникам. Більшість типових DPA містять це положення, але перечитайте їх перед підписанням.
  • Сприйняття відмов (opt-outs) як маркетингових рішень. Виконання відмови — це юридична вимога, а не побажання. Припиняйте потік даних, навіть якщо це шкодить ефективності ретаргетингу.
  • Очікування закінчення періоду виправлення перед початком дій. Якщо ви отримали повідомлення про порушення, у вас є обмежене вікно. Дійцте негайно, задокументуйте виправлення та отримайте письмове підтвердження від регулятора.

Підтримуйте чистоту записів про комплаєнс з першого дня

У міру розбудови програми комплаєнсу в умовах розрізненого законодавства штатів, у вас накопичуватимуться рахунки від постачальників, гонорари консультантів, страхові премії та витрати на реагування на інциденти, які потрібно відстежувати, категoризувати та звітувати про них. Beancount.io пропонує текстовий бухгалтерський облік, який забезпечує повну прозорість і контроль версій ваших фінансових даних. Це робить річні звіти для ради директорів, поновлення страхування та аналіз вартості комплаєнсу значно простішими, ніж робота з «чорною скринькою» звичайних реєстрів. Почніть безкоштовно і дізнайтеся, чому розробники, фінансові фахівці та оператори, що дбають про приватність, довіряють текстовій бухгалтерії для ведення справ свого бізнесу.