Образовательный ресурс штата Вашингтон

Закон о конфиденциальности штата Вашингтон для SaaS-компаний: карта оператора по трём законам

SaaS-компания, обслуживающая клиентов из штата Вашингтон, работает внутри трёх законов, которые взаимодействуют друг с другом: Chapter 19.255 RCW (уведомление об утечке данных, применяется к persona персональным данным жителей Вашингтона), Chapter 19.373 RCW (My Health My Data Act, MHMDA, применяется к данным о здоровье потребителей Вашингтона), и Chapter 19.86 RCW (Consumer Protection Act, через который оба других закона направляются для правоприменения). В штате Вашингтон нет эквивалента CCPA или CPRA в смысле прав потребителей и контроллеров повсюду; нормативная карта более узкая и более специфическая. Карта ниже это то, что я разбираю, когда SaaS-оператор присылает мне свою позицию по конфиденциальности в Вашингтоне для письменной оценки адвокатом. Это образовательный материал, а не юридическая консультация по праву штата Вашингтон для конкретной ситуации.

Последний юридический обзор: 2026-05-19. Текст закона получен из Chapter 19.255 RCW, Chapter 19.373 RCW, и Chapter 19.86 RCW на app.leg.wa.gov на эту дату.

Закон 1: Chapter 19.255 RCW (уведомление об утечке)

• Применяется, когда вы владеете или лицензируете компьютеризированные "personal information" (персональные данные) жителей Вашингтона в рамках определения RCW 19.255.010 (имя плюс указанный идентификатор).
• Триггер это несанкционированное получение, а не раскрытие. Безопасная гавань шифрования применяется, когда данные были зашифрованы и ключ дешифрования не был также получен.
• Уведомление потребителя не позднее тридцати дней с момента обнаружения; уведомление Генерального прокурора (Attorney General) в тот же период для утечек, затрагивающих более пятисот жителей Вашингтона.
• Распределение обязанностей обработчика согласно RCW 19.255.020: поставщик уведомляет владельца оперативно; владелец несёт обязанность уведомления потребителя и AG.
• Раздел о защите потребителей в RCW 19.255.040: предоставляет Генеральному прокурору полномочия по правоприменению в стиле CPA за нарушения Chapter 19.255 и отдельно позволяет пострадавшему потребителю подать гражданский иск о возмещении ущерба и судебном запрете. Сам закон гласит, что иск о применении Chapter 19.255 не может быть подан в рамках RCW 19.86.090, поэтому полный набор частных средств защиты по CPA согласно RCW 19.86.090 (тройные убытки с пределом $25,000, односторонние гонорары адвоката) не применяется автоматически к иску об уведомлении об утечке. Отдельный иск по Chapter 19.86 CPA может быть доступен, если факты независимо удовлетворяют элементам CPA.

Закон 2: Chapter 19.373 RCW (MHMDA, My Health My Data Act)

• Применяется к "regulated entities" (регулируемым организациям), которые ведут бизнес в Вашингтоне или производят или предоставляют продукты или услуги, нацеленные на потребителей Вашингтона, И определяют цели и средства обработки "consumer health data" (данных о здоровье потребителя) в рамках определения в RCW 19.373.010.
• Отдельная политика конфиденциальности данных о здоровье потребителя (Consumer Health Data Privacy Policy), на которую дана ссылка с главной страницы, согласно RCW 19.373.020. Не раздел общей политики конфиденциальности.
• Согласие при сборе, отдельное разрешение на продажу и отдельное разрешение на передачу согласно RCW 19.373.030.
• Права потребителя (доступ, удаление, отзыв согласия) согласно RCW 19.373.040.
• Обязательства по защите данных согласно RCW 19.373.050.
• Контракты с обработчиками согласно RCW 19.373.060.
• Геозона вокруг очных медицинских учреждений запрещена согласно RCW 19.373.080.
• Per se нарушение CPA согласно RCW 19.373.090.

Закон 3: Chapter 19.86 RCW (Consumer Protection Act, CPA)

• Материальный запрет на недобросовестные или вводящие в заблуждение действия или практики в торговле или коммерции в RCW 19.86.020.
• Кодификация путей публичного интереса в RCW 19.86.093.
• Частное средство защиты в RCW 19.86.090 (фактические убытки, дискреционное утроение с пределом $25,000 за нарушение RCW 19.86.020, односторонние гонорары адвоката) доступно только когда факты независимо удовлетворяют элементам CPA; сам закон гласит, что иск о применении Chapter 19.255 не может быть подан в рамках RCW 19.86.090.
• Четырёхлетний срок исковой давности в RCW 19.86.120.
• Для SaaS-операторов рамки CPA охватывают аспект MHMDA как per se нарушение CPA согласно RCW 19.373.090. Аспект уведомления об утечке отличается: RCW 19.255.040 даёт AG полномочия по правоприменению в стиле CPA и позволяет пострадавшему потребителю подать иск о возмещении ущерба и судебном запрете, но закон гласит, что иск о применении Chapter 19.255 не может быть подан в рамках RCW 19.86.090, поэтому полный набор частных средств защиты по RCW 19.86.090 не присоединяется автоматически. Отдельный иск по Chapter 19.86 CPA может быть всё ещё доступен, если факты независимо удовлетворяют элементам CPA (политика конфиденциальности, противоречащая фактической практике, нераскрытый отслеживающий пиксель, нераскрытая продажа данных третьим лицам).

Контрактное наложение: условия SaaS и DPA

• Условия обслуживания (Terms of Service) должны ссылаться на Вашингтон для любых явных формулировок о конфиденциальности или уведомлении об утечке и не должны противоречить практике в обязательной по MHMDA политике конфиденциальности данных о здоровье потребителя (Consumer Health Data Privacy Policy).
• DPA (Data Processing Agreement, соглашение об обработке данных) должно кодировать сроки уведомления об утечке, распределение затрат, возмещение, исключения из лимита ответственности для затрат, связанных с утечкой, и обязательства обработчика, согласующиеся как с RCW 19.255.020, так и с RCW 19.373.060.
• Для B2B-операторов с корпоративными клиентами в Вашингтоне ожидайте обязательств, передаваемых от клиента: минимальные средства контроля безопасности, права аудита, сроки уведомления об утечке и возмещение.
• Страхование: кибер и tech E&O с покрытием реагирования на утечку; панель breach-coach может быть указана в полисе.

Многоштатное наложение

Большинство SaaS-операторов обслуживают потребителей в нескольких штатах. Карта Вашингтона действует внутри более широкой позиции, которая включает Калифорнию (CCPA / CPRA, Cal. Civ. Code 1798.82 уведомление об утечке, Confidentiality of Medical Information Act для медицинских данных), Колорадо, Вирджинию, Техас и федеральные секторальные законы (HIPAA, GLBA, COPPA). Консервативная позиция это по умолчанию использовать самый строгий применимый стандарт для сроков, содержания, триггеров AG и прав потребителей, и использовать рамки MHMDA Вашингтона как базовый уровень, потому что это самый требовательный режим штатного законодательства о данных о здоровье потребителя из действующих.

Что я проверяю, когда вы присылаете дело о конфиденциальности SaaS в Вашингтоне

Когда вы присылаете инвентарь данных, текущие условия обслуживания, политику конфиденциальности и (если применимо) отдельную политику конфиденциальности данных о здоровье потребителя (Consumer Health Data Privacy Policy), шаблон DPA, скриншоты UX согласия и краткое описание продукта, я прохожу все три закона относительно конкретной ситуации и сообщаю вам, где находятся пробелы в соответствии и как выглядит рекомендуемое исправление. Результат это письменная оценка, а не торговое предложение.

Первичные источники

• Chapter 19.255 RCW: уведомление об утечке данных.
• Chapter 19.373 RCW: My Health My Data Act.
• Chapter 19.86 RCW: Consumer Protection Act.
• RCW 19.86.090: частный иск по CPA (доступен только если отдельный иск по Chapter 19.86 независимо обоснован по фактам; Chapter 19.255 не может быть применён по этому разделу).
• RCW 19.86.093: кодифицированные пути публичного интереса.
• RCW 19.86.120: четырёхлетний срок исковой давности.

Эта страница является образовательным ресурсом. Сергей Токмаков адвокат, лицензированный в Калифорнии (CA Bar #279869), в настоящее время добивающийся допуска в коллегию адвокатов штата Вашингтон.