Byl schválen nový kalifornský zákon o ochraně osobních údajů CPRA: Co teď?

Dne 3. listopadu 2020 schválili kalifornští voliči přibližně 56-44 % hlasů návrh 24, kalifornský zákon o právu na soukromí (CPRA). Tento zákon změní a nahradí ještě nedávný kalifornský zákon o ochraně soukromí spotřebitelů (CCPA), jakmile vstoupí v platnost 1. ledna 2023.

Zákon vychází ze stávajícího rámce CCPA, rozšiřuje práva spotřebitelů na ochranu soukromí tak, aby více odpovídala nařízení EU GDPR, ukládá podnikům další povinnosti a zřizuje první národní agenturu zaměřenou na regulaci a prosazování soukromí, Kalifornskou agenturu pro ochranu soukromí (CCPA). Níže uvádíme klíčové body, které potřebujete znát, abyste se mohli začít připravovat na nařízení CPRA.

Jak už to u ochrany osobních údajů bývá, čím dříve se připravíte, tím snadněji dosáhnete souladu.

CO POTŘEBUJETE VĚDĚT

Klíčová data a okamžité změny

Data účinnosti a prosazení: Nařízení CPRA jako celek vstoupí v platnost až 1. ledna 2023 a bude se vztahovat pouze na informace shromážděné 1. ledna 2022 nebo později. Prosazování bude zahájeno až od 1. července 2023. Do té doby zůstane řídícím režimem ochrany osobních údajů zákon CCPA.

Mimořádné změny: Přijetí zákona bude mít některé okamžité dopady, mimo jiné:

1. Rozšíření výjimky pro zaměstnance: Výjimky pro údaje zaměstnanců a údaje mezi podniky se prodlužují do 1. ledna 2023.
2. Vytvoření Kalifornské agentury pro ochranu soukromí (CPPA): Okamžitě nabývá účinnosti hlídací agentura pro ochranu soukromí CPPA. Pětičlenná rada CPPA musí být jmenována do 90 dnů od přijetí zákona, k čemuž dojde 5 dnů po potvrzení konečného hlasování státním tajemníkem.

Klíčová ustanovení

Změny definic: V zákoně CPRA je několik důležitých změn definic, včetně:

Nová podkategorie „citlivých“ osobních údajů: CPRA zachovává jedenáct kategorií osobních údajů (OÚ) podle CCPA, ale přidává novou podkategorii „citlivých“ osobních údajů (citlivé OÚ). Spotřebitelé budou mít nyní v případě citlivých OÚ zvýšená práva, včetně nového práva na omezení používání a zveřejňování těchto údajů. Mezi citlivé PI patří (1) číslo sociálního pojištění, řidičského průkazu, státního průkazu totožnosti nebo pasu; (2) přihlašovací údaje k účtu s heslem; (3) přesná zeměpisná poloha spotřebitele; (4) rasový nebo etnický původ, náboženské vyznání nebo členství v odborech; (5) obsah pošty, e-mailu nebo textové zprávy spotřebitele, pokud není podnik zamýšleným příjemcem; (6) genetické informace spotřebitele; (7) zpracování biometrických informací za účelem identifikace spotřebitele; (8) PI analyzované o zdravotním stavu osoby a (9) PI analyzované o sexuálním životě nebo sexuální orientaci spotřebitele.

Nová definice „třetí strany“: Do zákona CPRA se přidává nová definice třetí strany, která je definována negativně tak, aby nezahrnovala poskytovatele služeb, dodavatele a jakýkoli podnik, s nímž spotřebitel záměrně vstupuje do interakce a který od spotřebitele shromažďuje informace v rámci interakce spotřebitele s podnikem. Tyto výjimky jsou zvláště důležité vzhledem k nově rozšířenému právu spotřebitele odmítnout „sdílení“ svých informací s třetími stranami (o němž je pojednáno níže).

Nová definice (a částečné omezení) „profilování“: CPRA přidává definici „profilování“, kterou se rozumí „jakákoli forma automatizovaného zpracování“ PI používaná „k analýze nebo předvídání aspektů preferencí, ekonomické situace, pracovní výkonnosti, zdraví, zájmů, chování, polohy, spolehlivosti nebo pohybu osoby“ Profilování mohou nyní spotřebitelé částečně omezit prostřednictvím práva omezit použití a zpřístupnění citlivých PI na konkrétní „obchodní účely“ (o nichž je pojednáno níže), které vylučují profilování, ledaže spotřebitel důvodně očekává, že profilování je nezbytné k provedení požadovaných služeb nebo poskytnutí zboží. To by mohlo mít významné důsledky pro způsob používání a vysvětlování umělé inteligence.

Změny obchodních bbligací

Omezuje uchovávání údajů a vyžaduje zveřejnění doby uchovávání: Nařízení CPRA vyžaduje, aby podniky informovaly spotřebitele o době, po kterou podnik hodlá uchovávat jednotlivé kategorie OÚ, včetně citlivých OÚ. Pokud z nějakého důvodu není určení doby možné, musí podnik informovat spotřebitele alespoň o kritériích použitých k určení doby uchovávání. Podnik nesmí v žádném případě uchovávat OÚ spotřebitele nebo citlivé OÚ déle, než je přiměřeně nutné ke zveřejněnému účelu, pro který byly shromážděny.

Přidává právo omezit používání a zveřejňování citlivých OÚ: Jak bylo uvedeno výše, s přidáním podkategorie citlivých PI přichází nové právo spotřebitele omezit používání a zveřejňování této kategorie informací. Toto právo na omezení používání a zveřejňování vzniká, pokud jsou citlivé PI shromažďovány nebo zpracovávány za účelem odvození charakteristik spotřebitele. Spotřebitel může omezit použití nebo zveřejnění svých citlivých PI na: (1) na to, co je nezbytné k poskytování služeb nebo zboží, a (2) na určité omezené „obchodní služby“. Citlivé PI, které nejsou shromažďovány nebo zpracovávány za účelem „odvození“ charakteristik o spotřebiteli, se považují za PI a toto omezení se na ně nevztahuje. Citlivé PI musí být samostatně zveřejněny v oznámení o ochraně osobních údajů a spotřebitelé musí být informováni o svém právu rozhodnout se pro omezení používání a zveřejňování svých citlivých PI a musí mít možnost toto právo uplatnit.

Dodává právo na opravu nepřesných PI: Zákon CPRA přidává nové právo spotřebitele na opravu nepřesných OÚ. Podniky budou nyní povinny přidat oznámení o tomto právu ke svým informacím o zásadách ochrany osobních údajů a zavést zásady a postupy pro reakci na tyto žádosti.

Rozšiřuje práva spotřebitelů na odmítnutí sdílení PI pro účely křížové reklamy: Podle zákona CCPA mají spotřebitelé právo nařídit podnikům, aby neprodávaly jejich PI (tzv. právo odmítnout prodej). Podle zákona CPRA je toto právo rozšířeno tak, aby umožnilo spotřebitelům zabránit podnikům „sdílet“ jejich údaje se třetími stranami. „Sdílením“ se v tomto kontextu rozumí sdílení, zpřístupnění nebo pronájem PI spotřebitele třetí straně za účelem křížové behaviorální reklamy, a to za peníze nebo jinou hodnotnou protihodnotu, včetně případů, kdy nedochází k výměně peněz. „Křížovou kontextovou reklamou“ se rozumí cílení reklamy na spotřebitele na základě PI získaných z činnosti spotřebitele v jiných podnicích, na jiných webových stránkách, v jiných aplikacích nebo službách, než se kterými spotřebitel záměrně komunikuje. Podobně jako u práva na odmítnutí prodeje v zákoně CCPA se právo na odmítnutí sdílení nevztahuje na sdílení PI s poskytovateli služeb a smluvními partnery.

Rozšiřuje ustanovení o zákazu diskriminace tak, aby zahrnovalo zákaz odvetných opatření: CPRA mění právo spotřebitele na nediskriminaci tak, aby zahrnovalo zákaz odvetných opatření vůči zaměstnanci, uchazeči o zaměstnání nebo nezávislému dodavateli za uplatnění některého z jeho práv podle tohoto zákona.

Dodává smluvní požadavky pro všechny osoby, které získávají PI: Zákon CPRA přidává nové smluvní požadavky pro všechny osoby, které přijímají PI, včetně prodeje a sdílení, jakož i pro poskytovatele služeb a smluvní partnery. Smlouva nyní musí:

1. Uvést, že informace jsou poskytovány k omezeným a konkrétním účelům;
2. Zavázat osobu přijímající informace k dodržování nařízení CPRA a „zajistit stejnou úroveň ochrany soukromí, jakou vyžaduje“ nařízení CPRA;
3. Přiznat podniku právo zajistit, aby byly informace předávány „způsobem, který je v souladu s povinnostmi podniku podle této hlavy“;
4. Požadovat, aby osoba přijímající PI informovala podnik, pokud již nemůže plnit své povinnosti podle CPRA;
5. Přiznat podniku právo přijmout opatření k zastavení a nápravě neoprávněného používání PI.

Zvýšení práv dětí

Zvýšení správních pokut za PI dětí: Zákon CPRA zvyšuje správní pokuty za jakékoli porušení zákona týkající se PI dětí mladších 16 let až na možných 7 500 USD za porušení. Podle zákona CCPA byla tato sankce vyhrazena pouze pro úmyslná porušení. Maximální výše pokuty 2 500 USD za všechna ostatní neúmyslná jednání týkající se osob starších 16 let zůstává stejná.

Vyžaduje opt-in souhlas pro sdílení PI dětí mladších 16 let: Stejně jako zákon CPRA rozšiřuje právo spotřebitelů odmítnout prodej PI o právo odmítnout sdílení PI s třetími stranami, rozšiřuje se nyní požadavek zákona CCPA, aby podnik získal kladný opt-in souhlas pro prodej PI dětí mladších 16 let, také na sdílení PI dětí. CPRA rovněž vyzývá k tvorbě pravidel s cílem „stanovit technické specifikace pro preferenční signál opt-out, který umožňuje spotřebiteli nebo jeho rodiči či opatrovníkovi určit, že spotřebiteli je méně než 13 let nebo alespoň 13 let a méně než 16 let.“

Nová hlídací agentura pro ochranu soukromí, nová tvorba pravidel a rozšířené právo na soukromou žalobu

Zřizuje novou Kalifornskou agenturu pro ochranu soukromí (CPPA): Jak bylo uvedeno výše, zákon CPRA zřizuje novou agenturu CPPA, která bude „provádět a prosazovat“ zákon CCPA a zákon CPRA (až nabude účinnosti). CPPA bude první agenturou pro ochranu soukromí ve Spojených státech, která se bude zabývat výhradně ochranou údajů spotřebitelů, a bude mít široký mandát k vyšetřování možných porušení CPRA, prosazování CPRA prostřednictvím správních opatření a vyhlašování pravidel.

Zavádí nový předpis o pojištění: CPRA vyžaduje, aby CPPA „přezkoumala stávající kalifornský zákoník o pojištění“, pokud jde o ochranu soukromí spotřebitelů, s výjimkou ustanovení týkajících se pojistných sazeb a cen. CPPA musí určit, zda zákoník o pojišťovnictví poskytuje větší ochranu soukromí než CPRA, a pokud ne, CPPA „přijme“ nařízení, které bude na pojišťovny uplatňovat větší ochranu podle CPRA. Komisař pro pojišťovnictví si však ponechá pravomoc v oblasti pojistných sazeb a tvorby cen.

Požaduje vydání nového předpisu o kybernetické bezpečnosti a ochraně soukromí: CPPA vydá nařízení, podle něhož musí podniky, „jejichž zpracování osobních údajů spotřebitelů představuje významné riziko pro soukromí nebo bezpečnost spotřebitelů“, (1) každoročně provádět audit kybernetické bezpečnosti a (2) předložit CPPA posouzení rizik v souvislosti se zpracováním osobních údajů.

Rozšiřuje rozsah soukromoprávní žaloby: Zákon CPRA rozšiřuje rozsah soukromoprávní žaloby tím, že přidává důvod žaloby pro neoprávněný přístup a exfiltraci, krádež nebo vyzrazení e-mailové adresy v kombinaci s heslem nebo bezpečnostní otázkou a odpovědí, které by mohly umožnit přístup k obsahu. Dříve zákon CCPA uznával pouze důvod žaloby týkající se nešifrovaných nebo neredigovaných PI. Zákon CPRA rovněž objasňuje, že zavedení a udržování přiměřených bezpečnostních postupů a praktik po porušení nepředstavuje nápravu.

Závěr

Zákon CPRA je dalším příkladem rychle se vyvíjejícího prostředí ochrany osobních údajů. V pozadí této proměnlivosti je však jasný trend k posílení povinností společností v oblasti ochrany soukromí, který bude téměř jistě rychle pokračovat, a to jak ve Spojených státech, tak po celém světě. V tomto prostředí budou nejlépe připraveni ti, kteří se včas připraví, a ti, kteří mají pevný přehled o zákonech a o tom, jaké údaje mají, odkud pocházejí, kam směřují a jak dlouho je uchovávají.