Закон штата Вашингтон "Мои данные о здоровье - моё дело" (MHMDA): приватность данных о здоровье потребителей вне HIPAA
Если ваше приложение, веб-сайт, SaaS-продукт или AI-инструмент взаимодействует с потребителями в штате Вашингтон и обрабатывает что-либо, что может быть истолковано как потребительские данные о здоровье (Consumer Health Data), то применяется закон "Мои данные о здоровье - моё дело" (My Health, My Data Act) в Главе 19.373 RCW, и цена ошибки высока. Нарушения MHMDA являются автоматическими (per se) нарушениями Consumer Protection Act (CPA): частный истец получает фактические убытки, дискреционные тройные убытки с потолком в $25,000 на увеличение, и одностороннее возмещение гонорара адвоката, причём без необходимости отдельно доказывать общественный интерес. Никакого уведомления до подачи иска по закону не требуется. На этой странице я раскрываю реальную поверхность комплаенса и споров, а не пресс-релизы.
Быстрая сортировка: распространяется ли MHMDA на вас?
Сфера действия закона шире, чем предполагает большинство операторов. MHMDA штата Вашингтон может распространяться и на компании из других штатов, если они ведут бизнес в Вашингтоне или нацеливают продукты или услуги на потребителей в Вашингтоне и определяют цели и средства сбора, обработки, передачи или продажи потребительских данных о здоровье (Consumer Health Data). Офис или клиентская база в Вашингтоне не требуются. "Consumer health data" охватывает всё, что разумно связуемо с потребителем и идентифицирует состояние физического или психического здоровья, включая wellness-приложения, фитнес-трекеры, приложения для психического здоровья, приложения для отслеживания цикла и фертильности, приложения для сна, и AI-инструменты, которые делают выводы о здоровье из немедицинских сигналов.
- Обрабатываете ли вы данные потребителей штата Вашингтон (по месту жительства, по факту сбора в Вашингтоне или по нацеливанию продукта на жителей Вашингтона)?
- Могут ли какие-либо данные правдоподобно считаться "consumer health data" (состояние физического или психического здоровья, биометрические, связанные с подтверждением гендерной идентичности, репродуктивным или сексуальным здоровьем, точное местоположение рядом с медицинским учреждением, или любой вывод, относящий потребителя к категории, связанной со здоровьем)?
- Продаёте ли вы consumer health data, передаёте ли третьим лицам, или используете ли геолокационную маркировку (geofencing) в пределах 2,000 футов от очного медицинского учреждения?
- Публикуете ли вы отдельную Политику конфиденциальности данных о здоровье потребителей (Consumer Health Data Privacy Policy), заметно связанную с вашей домашней страницей, отличную от вашей общей политики конфиденциальности?
- Получили ли вы утвердительное согласие на сбор и отдельное согласие на передачу, как того требует RCW 19.373.030?
Если какой-либо ответ неясен, вопрос заслуживает письменного юридического анализа. Закон действует в отношении регулируемых организаций с 31 марта 2024 года и в отношении малых предприятий с 30 июня 2024 года.
Уровень сферы действия и определений (RCW 19.373.005, .010, .020)
Декларация в RCW 19.373.005 будет служить основанием для расширительного толкования в спорных случаях: "Законодательный орган считает, что жители штата Вашингтон рассматривают приватность как фундаментальное право и существенный элемент их индивидуальной свободы." Заявленные законодательные инструменты включают усиленные раскрытия информации и согласия, права на удаление, запрет на продажу consumer health data без действительного разрешения, подписанного потребителем, и запрет на geofencing медицинских учреждений.
Определения в RCW 19.373.010 являются фундаментальными. "Потребитель" означает (a) жителя штата Вашингтон или (b) физическое лицо, чьи consumer health data собираются в штате Вашингтон. Нерезидент, чьи данные собираются в штате Вашингтон, также является потребителем. "Consumer health data" означает персональную информацию, связанную или разумно связуемую с потребителем, которая идентифицирует прошлое, текущее или будущее состояние физического или психического здоровья, включая выводы (inferences). "Регулируемая организация" означает любое юридическое лицо, которое (a) ведёт бизнес в Вашингтоне или производит или предоставляет продукты или услуги, нацеленные на потребителей в Вашингтоне, и (b) единолично или совместно определяет цель и средства сбора, обработки, передачи или продажи consumer health data.
"Малое предприятие" означает регулируемую организацию, удовлетворяющую одному или обоим критериям: (a) менее 100,000 потребителей в течение календарного года, или (b) менее 50 процентов валового дохода от consumer health data. "Продавать" означает обмен на денежное или иное ценное возмещение, с исключениями для слияний, поглощений, банкротств и отношений с обработчиками. "Geofence" - это "виртуальная граница в пределах 2,000 футов или менее от периметра физического местоположения", использующая GPS, вышки сотовой связи, сотовые данные, RFID, Wifi или любое другое пространственное или геолокационное обнаружение.
Два вывода. Во-первых, юрисдикционный охват выходит за пределы компаний, домицилированных в Вашингтоне: SaaS из Техаса, продвигающая приложение для сна среди вашингтонских пользователей, может попадать под закон, если она нацеливает продукт на потребителей штата Вашингтон и определяет цели и средства сбора, обработки, передачи или продажи consumer health data. Во-вторых, определение охватывает выводы (inferences); AI-модель, выводящая состояние здоровья из паттернов покупок, истории поиска или местоположения, генерирует consumer health data.
RCW 19.373.020 - это раздел о политике конфиденциальности и самый часто упускаемый комплаенс-пробел: "За исключением случаев, предусмотренных подразделом (2) настоящего раздела, начиная с 31 марта 2024 года, регулируемая организация и малое предприятие должны поддерживать политику конфиденциальности данных о здоровье потребителей, которая ясно и заметно раскрывает: (i) категории собираемых consumer health data и цель сбора данных, включая то, как данные будут использоваться; (ii) категории источников, из которых собираются consumer health data; (iii) категории consumer health data, которые передаются; (iv) список категорий третьих лиц и конкретных аффилированных лиц, с которыми регулируемая организация или малое предприятие передаёт consumer health data; и (v) как потребитель может реализовать права, предусмотренные в RCW 19.373.040. (b) Регулируемая организация и малое предприятие должны заметно публиковать ссылку на свою политику конфиденциальности данных о здоровье потребителей на своей домашней странице." Подразделы (c)-(d) требуют утвердительного согласия перед добавлением категорий или новых целей; (e) делает контракты с обработчиками, несовместимые с политикой, нарушением.
Согласие, продажа и запрет geofencing (RCW 19.373.030, .060, .070, .080)
RCW 19.373.030 устанавливает двухслойный режим согласия. Регулируемая организация не может собирать consumer health data, кроме как с согласием на указанную цель, или когда сбор необходим для предоставления запрошенного продукта или услуги. Она не может передавать consumer health data, кроме как с отдельным согласием, отличным от согласия на сбор, или когда передача необходима для предоставления запрошенного продукта или услуги. Запрос на разрешение должен раскрывать категории данных, цель и методы использования, получающие организации и механизм отзыва. Дискриминация потребителей, которые реализуют эти права, запрещена. Единого принятия политики конфиденциальности недостаточно; требуются два согласия. Стандартные процессы согласия по CCPA, CPRA или Connecticut Data Privacy Act не проходят по этому пункту.
RCW 19.373.060 регулирует отношения с обработчиком и ранее не цитировался в исходной карте источников. Действующий текст: "(1)(a)(i) За исключением случаев, предусмотренных подразделом (2) настоящего раздела, начиная с 31 марта 2024 года, обработчик может обрабатывать consumer health data только в соответствии с обязывающим контрактом между обработчиком и регулируемой организацией или малым предприятием, который устанавливает инструкции по обработке и ограничивает действия, которые обработчик может предпринимать в отношении consumer health data, которые он обрабатывает от имени регулируемой организации или малого предприятия. (ii) Обработчик может обрабатывать consumer health data только способом, согласованным с обязывающими инструкциями, изложенными в контракте с регулируемой организацией или малым предприятием. (b) Обработчик должен помогать регулируемой организации или малому предприятию надлежащими техническими и организационными мерами, насколько это возможно, в выполнении обязательств регулируемой организации и малого предприятия по этой главе. (c) Если обработчик не соблюдает инструкции регулируемой организации или малого предприятия или обрабатывает consumer health data способом, выходящим за рамки контракта обработчика с регулируемой организацией или малым предприятием, обработчик считается регулируемой организацией или малым предприятием в отношении таких данных и подчиняется всем требованиям этой главы в отношении таких данных. (2) Малое предприятие должно соблюдать этот раздел с 30 июня 2024 года." Контракты с обработчиком по MHMDA не взаимозаменяемы с GDPR DPA или соглашениями с поставщиком услуг по CCPA; обработчик, отклоняющийся от инструкций, превращается в регулируемую организацию в отношении соответствующих данных.
RCW 19.373.070 регулирует продажу consumer health data, заимствуя архитектуру разрешения на раскрытие по HIPAA. Начиная с 31 марта 2024 года, незаконно продавать или предлагать к продаже consumer health data без действительного разрешения. Девять обязательных элементов: (1) конкретная идентификация данных; (2) имя и контактные данные продавца; (3) имя и контактные данные покупателя; (4) описание цели, включая то, как данные будут собираться и использоваться; (5) заявление о том, что "предоставление товаров или услуг не может быть обусловлено" подписанием; (6) право на отзыв и инструкции; (7) уведомление о том, что приобретённые данные могут подлежать дальнейшему повторному раскрытию; (8) истечение срока через один год с момента подписания; и (9) подпись потребителя и дата. Разрешение недействительно, если оно истекло, отсутствует какой-либо элемент, отозвано, объединено с другими документами или ставит услугу в зависимость от подписания.
RCW 19.373.080 - это запрет geofencing: "Незаконно для любого лица создавать geofence вокруг организации, которая предоставляет очные медицинские услуги, где такой geofence используется для: (1) идентификации или отслеживания потребителей, ищущих медицинские услуги; (2) сбора consumer health data от потребителей; или (3) отправки уведомлений, сообщений или рекламы потребителям, связанных с их consumer health data или медицинскими услугами." Периметр в 2,000 футов закреплён в определениях RCW 19.373.010. Источник сессионного закона 2023 c 191 s 10. Принятый закон 2023 c 191 вступил в силу 23 июля 2023 года по правилу по умолчанию, и s 10 не содержит формулировок об отсроченном комплаенсе; сверьте с сессионным законом перед тем, как полагаться на дату поведения до 23 июля 2023 года.
Отдельная политика конфиденциальности данных о здоровье потребителей (RCW 19.373.040, .050)
Политика, требуемая RCW 19.373.020, является отдельным документом, а не разделом внутри общей политики конфиденциальности. Она должна быть заметно связана с домашней страницы: ссылка в подвале, выживающая при мобильном сворачивании, или выделенная ссылка на уровне chrome страницы. Объединение раскрытий MHMDA в общую политику конфиденциальности - самый распространённый паттерн неудачи при анализе на стороне оператора.
RCW 19.373.040 предоставляет права, которые политика должна объяснять: подтверждение того, собирает ли, передаёт ли или продаёт ли организация consumer health data, с доступом и списком всех третьих лиц плюс контактной информацией; отзыв согласия на сбор и передачу; удаление с последующим уведомлением аффилированных лиц, обработчиков, контрагентов и третьих лиц. Срок ответа: 45 дней плюс одно продление на 45 дней. Удаление архивных данных может быть отсрочено до шести месяцев. Процесс апелляции должен дать письменное решение в течение 45 дней.
RCW 19.373.050 налагает обязательства по безопасности данных с привязкой к разумной заботе: "(a) Ограничить доступ к consumer health data со стороны сотрудников, обработчиков и контрагентов регулируемой организации или малого предприятия только теми сотрудниками, обработчиками и контрагентами, для которых доступ необходим для дальнейшего продвижения целей, на которые потребитель дал согласие. (b) Установить, внедрить и поддерживать административные, технические и физические практики безопасности данных, которые как минимум удовлетворяют разумному стандарту заботы в отрасли регулируемой организации или малого предприятия." Привязанное к согласию ограничение доступа более детализировано, чем обычно обеспечивают политики ролевого доступа.
Почему MHMDA меняет позицию по приватности для SaaS, wellness-приложений и AI-инструментов
RCW 19.373.090 - архитектурно самый значимый раздел: "Законодательный орган считает, что практики, охватываемые этой главой, являются вопросами, жизненно влияющими на общественный интерес для целей применения consumer protection act, главы 19.86 RCW. Нарушение этой главы не является разумным в отношении развития и сохранения бизнеса и является несправедливым или вводящим в заблуждение действием в торговле или коммерции и несправедливым методом конкуренции для целей применения consumer protection act, главы 19.86 RCW." Это предложение превращает каждое нарушение MHMDA в автоматическое (per se) нарушение Washington CPA. Истец не обязан доказывать воздействие на общественный интерес по фреймворку Washington Hangman Ridge / RCW 19.86.093; .090 предоставляет это по декларации. Истец всё ещё должен доказать ущерб и причинно-следственную связь, но первые три элемента CPA передаются. В сочетании с дискреционными тройными убытками с потолком в $25,000, односторонним возмещением гонорара и четырёхлетним сроком исковой давности по RCW 19.86.120, MHMDA является законом штата о приватности здоровья с наибольшим рычагом давления в США. Если ваше приложение собирает данные опросников по психическому здоровью от пользователей в Вашингтоне, и ваша политика - это один объединённый документ без отдельной Consumer Health Data Privacy Policy и без ссылки на домашней странице, у вас есть автоматическая (per se) экспозиция по CPA ещё до того, как какой-либо потребитель пострадает или Washington Attorney General (WAG) задаст вопрос.
Принудительное исполнение и исключения (RCW 19.373.090, .100)
RCW 19.373.090 сохраняет принудительное исполнение со стороны Washington Attorney General (WAG) по Главе 19.86 RCW (гражданские штрафы, судебный запрет, реституция). Пути WAG и частного CPA параллельны; организация, привлекшая запрос WAG, также подвергается частным судебным искам по тем же фактам.
Исключения в RCW 19.373.100 уже, чем кажутся. Исключённые категории: PHI по HIPAA (с сопутствующими данными по Гл. 70.02 RCW и 42 CFR Part 2); GLBA; FCRA; FERPA; деятельность общественного здравоохранения по 45 CFR 164.512; деидентифицированные данные, удовлетворяющие 45 CFR Part 164; и обработка, необходимая для предотвращения, обнаружения, защиты от или реагирования на инциденты безопасности, кражу личности, мошенничество, домогательства или вредоносную или вводящую в заблуждение деятельность. Бремя доказывания исключения лежит на организации, заявляющей его, и исключения привязаны к данным, а не к организации в целом. Больница покрыта HIPAA для PHI в лечении, оплате и операциях, но рекламные пиксели её веб-сайта на странице "найти врача" собирают данные, не являющиеся PHI и не освобождённые.
Что я анализирую, когда вы присылаете мне дело по MHMDA
Работа разделяется на комплаенс-анализ и реакцию на спор. Контрольные точки на стороне оператора:
- Политика конфиденциальности по RCW 19.373.020. Отдельный документ, заметно связанный с домашней страницы способом, выживающим при мобильном сворачивании? Пять содержательных раскрытий, включая список конкретных аффилированных лиц? Соответствует фактическим потокам данных?
- UX согласия по RCW 19.373.030. Утвердительное согласие на сбор, отдельное от утвердительного согласия на передачу? Категории, цели, получатели и отзыв раскрыты? Не объединено с принятием общих условий?
- Аудит потоков данных. Какие consumer health data затрагивает продукт (включая выводы), куда они текут, и соответствует ли поток политике.
- Продажа и разрешение по RCW 19.373.070. Действительное разрешение со всеми девятью элементами?
- Аудит geofence по RCW 19.373.080. Сопоставление geofence кампаний с адресами медицинских учреждений с буфером 2,000 футов.
- Анализ контракта с обработчиком по RCW 19.373.060. Присутствуют ли формулировки об обязывающих инструкциях и разумном содействии? Разрешённые цели сужены точно?
- Ответ на запрос WAG. Срок ответа и позиция по адвокатской тайне для внутренних комплаенс-документов имеют значение немедленно. Защита частного иска по CPA, основанного на автоматическом (per se) нарушении MHMDA, выглядит иначе, чем обычное дело по CPA, потому что поле битвы по общественному интересу исчезает.
Два варианта обслуживания
Для операторов SaaS, wellness и AI. Анализ политики конфиденциальности, анализ UX согласия и аудит потоков данных по специфическим требованиям MHMDA. Результат - письменное юридическое заключение, идентифицирующее пробелы, ранжирование по серьёзности и шаги по устранению. Если поступил запрос от WAG, услуга расширяется до составления ответа и позиции по адвокатской тайне. Основной CTA на этой странице откалиброван на этот путь.
Для потребителей штата Вашингтон, чьи данные были использованы ненадлежащим образом. Претензионное письмо, основанное на MHMDA, утверждающее конкретный нарушенный подраздел, идентифицирующее автоматический (per se) крючок CPA по RCW 19.373.090, и квантифицирующее экспозицию (фактические убытки, дискреционное утроение с потолком в $25,000, одностороннее возмещение гонорара по RCW 19.86.090). Для фреймворка CPA см. мой хаб по Washington Consumer Protection Act. Претензионное письмо со стороны потребителя стоит $575 за единое письмо, составленное адвокатом, отправленное заказным письмом USPS (с подтверждением подписи) плюс email.
Документы для сбора
Сторона оператора: текущий URL политики конфиденциальности consumer health data плюс снимок с датой; скриншот домашней страницы, показывающий ссылку на политику на десктопе и мобильном; скриншоты UX согласия (поток регистрации, баннер согласия, переключатели передачи); инвентарь категорий consumer health data; список обработчиков и субобработчиков; текущий шаблон DPA; любые договорённости о продаже данных или партнёрстве; любое письмо-запрос от WAG плюс хронология поведения; история уведомлений о нарушениях по Главе 19.255 RCW.
Сторона потребителя: скриншоты аккаунта, показывающие согласие при регистрации; политика конфиденциальности организации, какой она была на момент регистрации (Wayback Machine, если пересмотрена); результаты любого DSAR; скриншоты разрешений приложения; доказательства продажи или передачи; предыдущая переписка с жалобами; для иска по geofence - записи местоположения устройства и скриншоты рекламы рядом с или после посещения медицинского учреждения.
Когда стоит нанимать адвоката
Нанимайте юриста, когда верно одно или несколько: поступило письмо-запрос от WAG; сработал триггер уведомления о нарушении и затронуты consumer health data; аудит geofence по периметру 2,000 футов просрочен; редизайн UX согласия требует анализа по RCW 19.373.030 перед запуском; продукт вот-вот будет запущен в Вашингтоне; продукт затрагивает данные о психическом здоровье, репродуктивные, по подтверждению гендерной идентичности, биометрические или о сне; или дью-дилидженс сделки спрашивает о позиции по MHMDA. Менее вероятно, что нужна услуга, когда вашингтонские клиенты не затронуты, consumer health data не собираются, потоки полностью лежат внутри задокументированных отношений, покрытых HIPAA, или вопрос структурно сводится к контракту с обработчиком.
Личное замечание. MHMDA - это тип закона, над которым я действительно люблю работать. Достаточно узкий, чтобы быть управляемым, достаточно широкий, чтобы ловить реальные проблемы, и требование отдельной политики - чистый комплаенс-крючок. Я анализирую политику конфиденциальности, UX согласия, потоки данных и контракты с обработчиками, затем говорю вам, нужен ли вам анализ политики конфиденциальности за $575 или более срочная позиция по ответу WAG. На стороне потребителя автоматический (per se) крючок CPA делает математику претензионного письма прямолинейной, когда документальная история надёжна.
Есть ли у меня проблема с комплаенсом?
Прежде чем платить за письменную оценку, проверьте вопросы о сфере действия и политике против своего продукта. Если вы можете ответить "да" на большинство из них, MHMDA может применяться к вашему продукту, и письменный анализ стоит своих денег.
- Ведёте ли вы бизнес в Вашингтоне или нацеливаете ли вы продукты или услуги на потребителей в Вашингтоне? Офис в Вашингтоне не требуется; нацеливание - требуется.
- Определяете ли вы (единолично или совместно) цели и средства обработки consumer health data? Если вы только обрабатываете по обязывающим инструкциям другой регулируемой организации, ваши обязательства выглядят иначе.
- Обрабатываете ли вы данные, которые правдоподобно считаются consumer health data: биометрические, психического здоровья, репродуктивного или сексуального здоровья, фитнес, сон, точное местоположение рядом с медицинским учреждением, или любой вывод, относящий потребителя к категории, связанной со здоровьем?
- Поддерживаете ли вы ОТДЕЛЬНУЮ Consumer Health Data Privacy Policy, заметно связанную с вашей домашней страницы способом, выживающим при мобильном сворачивании, отличную от вашей общей политики конфиденциальности? Объединение MHMDA в общую политику - самый распространённый пробел комплаенса.
- Является ли ваше согласие opt-in (утвердительным, не объединённым, с отдельным согласием на передачу), как требует RCW 19.373.030, а не подразумеваемым через единое принятие условий?
Какие факты имеют наибольшее значение в деле MHMDA?
В деле MHMDA рычаг и риск растут или падают на основе небольшого набора фактических якорей. Самые важные факты: (1) наличие каких-либо вашингтонских потребителей (место жительства, сбор в Вашингтоне или нацеливание), потому что без этого закон вообще не охватывает вас, (2) попадают ли данные под широкое определение consumer health data, особенно выводы (inferences), сделанные AI или ML из немедицинских сигналов (именно здесь большинство операторов обнаруживают, что они внутри закона), (3) существует ли отдельная Consumer Health Data Privacy Policy, заметно связана ли с домашней страницы, и соответствует ли фактическим потокам данных, (4) позиция UX согласия (один пакет против отдельных утвердительных согласий на сбор и передачу), и (5) используется ли geofencing или реклама на основе местоположения в пределах 2,000 футов от любого очного медицинского учреждения, потому что RCW 19.373.080 является плоским запретом.
Документы для загрузки для письменной юридической консультации за $240
Когда вы присылаете дело по MHMDA для письменной оценки, документы ниже позволяют мне применить закон к вашему продукту, а не к общему SaaS-шаблону.
- Текущий URL Consumer Health Data Privacy Policy плюс снимок с датой.
- Скриншот домашней страницы, показывающий ссылку на политику на десктопе и мобильном (после любого сворачивания или меню-гамбургера).
- Скриншоты UX согласия: поток создания аккаунта, баннер согласия, переключатели передачи и любой механизм отзыва.
- Инвентарь категорий consumer health data, собираемых, обрабатываемых, передаваемых или продаваемых, включая выводы (inferences).
- Список обработчиков и субобработчиков плюс текущий шаблон DPA или контракта с обработчиком.
- Любые договорённости о продаже данных или партнёрстве, затрагивающие consumer health data.
- Любое письмо-запрос от Washington Attorney General плюс хронология поведения, предшествовавшая ему.
- История уведомлений о нарушениях по Главе 19.255 RCW, где затрагивались consumer health data.
- Для вопросов по geofence - конфигурация geofence рекламной платформы и карта целевой области относительно адресов медицинских учреждений.
- Краткое описание продукта: что делает продукт, какие данные собирает, каких вашингтонских пользователей (или точки сбора в Вашингтоне) затрагивает.
На чём бы делал акцент комплаенс-анализ MHMDA или претензионное письмо
Услуга по MHMDA - это не общий аудит приватности. Она откалибрована на специфические комплаенс-крючки закона и автоматический (per se) мост к CPA по RCW 19.373.090. Работа обычно делает акцент на следующем.
- Требование отдельной политики по RCW 19.373.020: отдельный документ, пять содержательных раскрытий, включая конкретных аффилированных лиц, заметная ссылка на домашней странице, выживающая при мобильном сворачивании.
- Двухслойный режим согласия по RCW 19.373.030: утвердительное согласие на сбор плюс отдельное, отличное согласие на передачу, не объединённое с принятием общих условий.
- Разрешение на продажу данных по RCW 19.373.070: все девять элементов присутствуют, подписаны потребителем, с истечением срока через один год и механизмом отзыва.
- Запрет geofence в 2,000 футов по RCW 19.373.080, сопоставленный с фактическими конфигурациями рекламных платформ.
- Автоматический (per se) мост к CPA по RCW 19.373.090: любое нарушение MHMDA является per se нарушением CPA, так что организация сталкивается с фактическими убытками, дискреционным утроением с потолком в $25,000 и односторонним возмещением гонорара без необходимости истцу отдельно доказывать общественный интерес.
Что AI Legal Analyst может проанализировать перед тем, как вы меня наймёте
Если вы хотите предварительный анализ перед оплатой Письменной консультации адвоката (Written Attorney Consultation), вы можете спросить AI Legal Analyst (чат-окно в правом нижнем углу) о вашем деле по MHMDA. AI задаст MHMDA-специфические вопросы для сортировки (охват Вашингтона, определение consumer health data, включая выводы, позиция отдельной политики, UX согласия, экспозиция geofence), укажет на соответствующие подразделы Главы 19.373 RCW, и скажет вам, выглядит ли дело как кандидат на письменную юридическую консультацию за $240, кандидат на MHMDA scope memo за $499 (сторона оператора), кандидат на претензионное письмо за $575 (сторона потребителя), или совсем другой путь. Он не даст вам окончательного юридического мнения, для этого предназначена Письменная консультация адвоката, но он поможет вам структурировать ваши факты перед отправкой.
Практическое замечание Сергея
MHMDA - это тип регуляторного дела, которое я действительно люблю анализировать. Требование отдельной политики конфиденциальности по RCW 19.373.040 - самая часто упускаемая комплаенс-точка, которую я вижу на практике. Если вы собираете что-либо, что может быть consumer health data, и вы обслуживаете вашингтонских пользователей, пришлите вашу текущую политику конфиденциальности, скриншоты UX согласия и краткое описание продукта. Я анализирую под лицензией Калифорнии, так что анализ MHMDA на этой странице - это регуляторная консультативная работа, а не представительство в Вашингтоне.
Первоисточники
Законодательные источники получены 2026-05-18 с app.leg.wa.gov: RCW 19.373.005, .010, .020, .030, .040, .050, .060, .070, .080, .090, .100.
Образовательный ресурс. Сергей Токмаков - адвокат Калифорнии (CA Bar #279869), в настоящее время добивающийся допуска в коллегию адвокатов штата Вашингтон. Ничто на этой странице не создаёт отношений адвоката и клиента и не является юридической консультацией по праву штата Вашингтон. Адвокат, допущенный в Вашингтоне, должен проверить действующий текст закона и любые цитаты дел перед тем, как полагаться на них в живом деле. Связанные ресурсы: Руководство по условиям SaaS штата Вашингтон; Руководство по уведомлению о нарушении данных штата Вашингтон; Хаб по Washington Consumer Protection Act.