Florida Overhauls Its Data Security Breach Notification Law Effective July 1, 2014
This action in Florida continues a line of recent data breach proposals and laws in a number of states, including California, New Mexico, Iowa, and Kentucky. Among other things, the law changes the definition of personal information that can trigger a notification requirement by adding health insurance, medical information, financial information and online account information, such as security questions and answers, email addresses, and passwords. Current law covers an individual’s first name or initial and last name, in combination with: (i) a social security number; (ii) drivers’ license or identification card number; (iii) or account number, credit or debit card number in combination with any required security code or password to access the account.
Notice to affected individuals is required as expeditiously as possible, but no later than 30 days after discovery of the breach or the business reasonably believes a breach occurred. Current laws require notification without unreasonable delay and no later than 45 days after discovery of the breach.
En cas de violation de données touchant 500 résidents ou plus, un avis écrit doit être envoyé au procureur général au plus tard 30 jours après la découverte de la violation. Si le procureur général le demande, l'entreprise doit lui fournir une copie de ses politiques en vigueur concernant les violations, les mesures prises pour y remédier, ainsi qu'un rapport de police, un rapport d'incident ou un rapport d'expertise informatique.
Si la violation concerne plus de 1 000 personnes, l'entreprise doit également en informer les principales agences d'évaluation du crédit (Experian, TransUnion et Equifax).
Aucun avis n'est requis si, après avoir mené une enquête appropriée et consulté les autorités compétentes, l'organisation détermine de manière raisonnable que la violation n'a pas entraîné et n'est pas susceptible d'entraîner un vol d'identité ou tout autre préjudice définitif pour les personnes concernées. Cette décision doit être consignée par écrit, conservée pendant au moins 5 ans et communiquée au procureur général dans les 30 jours suivant sa prise.
The law adds a requirement that businesses must use reasonable measures to protect and secure personal information in electronic form. While the law does not provide details on what these measures may be, in the event of a security breach the company will need to demonstrate at a minimum that it used commercially reasonable safeguards to protect personal information consistent with industry standards.
Enfin, la loi autorise le procureur général à prendre des mesures coercitives en vertu de la loi de Floride sur les pratiques commerciales déloyales et trompeuses (Unfair and Deceptive Trade Practices Act) en cas d'infraction. Les sanctions civiles peuvent atteindre 500 000 dollars, soit 1 000 dollars par jour pendant les 30 premiers jours de violation, et 50 000 dollars pour chaque période supplémentaire de 30 jours, jusqu'à 180 jours. Si la violation se poursuit pendant plus de 180 jours, les sanctions peuvent atteindre 500 000 dollars.
Impact sur les activités
The law imposes additional and more stringent requirements for businesses that suffer a security breach exposing personal information of customers, employees or other individuals. The breach may be the result of a malicious hacker, disgruntled employee or inadvertent loss of a laptop or smart phone containing personal information. Businesses should modify their data breach incident response plans to comply with the new requirements (and, needless to say, develop a response plan if they do not have one). Companies should ensure that if a breach results in a request from the Attorney General for the companies’ applicable policies, those policies are consistent with the law and current best practices.
Legal News Alert s'inscrit dans le cadre de notre engagement continu à fournir des informations actualisées sur les préoccupations urgentes ou les questions sectorielles qui touchent nos clients et nos collègues. Si vous avez des questions concernant cette mise à jour ou si vous souhaitez discuter plus en détail de ce sujet, veuillez contacter votre avocat Foley ou les personnes suivantes :
Chanley T. Howell
Jacksonville, Floride
904.359.8745
[email protected]
James R. Kalyvas
Los Angeles, California
213.972.4542
[email protected]
Michael R. Overly
Los Angeles, California
213.972.4533
[email protected]
Steven M. Millendorf
San Diego, California
858.847.6737
[email protected]
