Californiens nye lov om beskyttelse af privatlivets fred, CPRA, blev godkendt: Hvad nu?

Den 3. november 2020 vedtog de californiske vælgere Proposition 24, California Privacy Rights Act (CPRA), med ca. 56-44 %. Denne lov vil ændre og erstatte den stadig nyere California Consumer Privacy Act (CCPA), når den træder i kraft den 1. januar 2023.

Loven bygger på de eksisterende rammer i CCPA, udvider forbrugernes rettigheder til beskyttelse af privatlivets fred, så de i højere grad svarer til EU’s GDPR, pålægger virksomhederne yderligere forpligtelser og opretter landets første agentur, der er dedikeret til regulering og håndhævelse af privatlivets fred, California Privacy Protection Agency (CCPA). Nedenfor har vi skitseret de vigtigste punkter, som du skal vide for at begynde at forberede dig på CPRA.

Som det ofte er tilfældet med privatlivets fred, er det nemmere at overholde reglerne, jo tidligere du forbereder dig.

Hvad du skal vide

Nøgledatoer og umiddelbare ændringer

Operative og håndhævelsesdatoer: CPRA som helhed træder ikke i kraft før den 1. januar 2023 og gælder kun for oplysninger, der indsamles den 1. januar 2022 eller senere. Håndhævelsen vil ikke begynde før den 1. juli 2023. Indtil da vil CCPA fortsat være den gældende ordning for beskyttelse af privatlivets fred.

Midlertidige ændringer: Lovens vedtagelse vil få nogle umiddelbare virkninger, herunder:

1. Udvidelse af undtagelsen for ansatte: Undtagelser for medarbejderdata og business-to-business-data forlænges indtil den 1. januar 2023.

Oprettelse af California Privacy Protection Agency (CPPA): Overvågningsorganet for beskyttelse af privatlivets fred, CPPA, træder i kraft med øjeblikkelig virkning. CPPA’s bestyrelse på fem medlemmer skal udnævnes inden 90 dage efter lovens ikrafttræden, hvilket sker 5 dage efter, at statssekretæren har bekræftet den endelige afstemning.

Nøglebestemmelser

De definitionsmæssige ændringer: Der er flere vigtige ændringer af definitionerne i CPRA, herunder:

Ny underkategori af “følsomme” personlige oplysninger: Den nye underkategori “følsomme” personoplysninger: I CPRA bibeholdes CCPA’s elleve kategorier af personoplysninger (PI), men der tilføjes en ny underkategori af “følsomme” personoplysninger (Sensitive PI). Forbrugerne vil nu have øgede rettigheder, når der er tale om følsomme PI, herunder en ny ret til at begrænse brugen og videregivelsen af sådanne oplysninger. Følsomme PI omfatter (1) socialsikringsnummer, kørekort, statsligt ID-nummer eller pasnummer, (2) kontoindlogningsoplysninger med adgangskode, (3) en forbrugers nøjagtige geografiske placering, (4) race eller etnisk oprindelse, religiøs overbevisning eller medlemskab af en fagforening; (5) indholdet af en forbrugers post, e-mail eller sms’er, medmindre virksomheden er den tilsigtede modtager; (6) forbrugerens genetiske oplysninger; (7) behandling af biometriske oplysninger til identifikation af forbrugeren; (8) PI analyseret vedrørende en persons helbred; og (9) PI analyseret vedrørende en forbrugers sexliv eller seksuelle orientering.

Ny definition af “tredjepart”: CPRA tilføjer en ny definition af “tredjepart”, som i den negative definition udelukker tjenesteydere, entreprenører og enhver virksomhed, som forbrugeren bevidst interagerer med, og som indsamler oplysninger fra forbrugeren som led i forbrugerens interaktion med virksomheden. Disse undtagelser er særlig vigtige i betragtning af den nyligt udvidede ret for forbrugerne til at fravælge “deling” af deres oplysninger med tredjeparter (omtalt nedenfor)..

Ny definition af (og delvis begrænsning af) “profilering”: CPRA tilføjer en definition af “profilering”, som betyder “enhver form for automatiseret behandling” af PI, der anvendes “til at analysere eller forudsige aspekter af en persons præferencer, økonomiske situation, arbejdspræstationer, helbred, interesser, adfærd, placering, pålidelighed eller bevægelser”. Profilering kan nu delvist begrænses af forbrugerne gennem retten til at begrænse brugen og videregivelsen af følsomme PI til specifikke “forretningsformål” (diskuteret nedenfor), som udelukker profilering, medmindre forbrugeren med rimelighed forventer, at profilering er nødvendig for at udføre de ønskede tjenesteydelser eller levere de ønskede varer. Dette kan få betydelige konsekvenser for, hvordan kunstig intelligens kan anvendes og forklares.

Ændringer af forretningsforpligtelser

Begrænser opbevaring af data og kræver offentliggørelse af opbevaringsperioder: CPRA kræver, at virksomheder skal oplyse forbrugerne om, hvor længe virksomheden har til hensigt at opbevare hver kategori af PI, herunder følsomme PI. Hvis det af en eller anden grund ikke er muligt at angive tidsrummet, skal virksomheden som et minimum oplyse forbrugerne om de kriterier, der er anvendt til at fastlægge opbevaringsperioden. Virksomheden må under ingen omstændigheder opbevare forbrugerens PI eller følsomme PI længere, end det er rimeligt nødvendigt for det formål, hvortil de blev indsamlet.

Tilføjer en ret til at begrænse brugen og videregivelsen af følsomme PI: Som nævnt ovenfor følger der med tilføjelsen af underkategorien følsom PI en ny ret for forbrugeren til at begrænse brugen og videregivelsen af denne kategori af oplysninger. Denne ret til at begrænse brugen og videregivelsen udløses, når følsom PI indsamles eller behandles med henblik på at udlede karakteristika om forbrugeren. Forbrugeren kan begrænse brugen eller videregivelsen af sin følsomme PI til: (1) det, der er nødvendigt for at udføre tjenester eller levere varer, og (2) visse begrænsede “forretningstjenester”. Følsom PI, der ikke indsamles eller behandles med henblik på at “udlede” egenskaber om forbrugeren, skal behandles som PI og vil ikke være omfattet af denne begrænsning. Følsomme PI skal oplyses særskilt i meddelelsen om beskyttelse af personlige oplysninger, og forbrugerne skal informeres om og have mulighed for at udøve deres ret til at vælge at begrænse brugen og videregivelsen af deres følsomme PI.

Tilføjer en ret til at korrigere unøjagtige PI: CPRA tilføjer en ny forbrugerret til at korrigere unøjagtige PI. Virksomhederne vil nu være forpligtet til at tilføje en meddelelse om denne ret til deres privatlivspolitik og indføre politikker og procedurer til at reagere på disse anmodninger.

Udvider forbrugernes opt-out-rettigheder til deling af PI til tværkontekstuel reklame: I henhold til CCPA har forbrugerne ret til at give virksomheder besked om ikke at sælge deres PI (kendt som retten til at fravælge salg). I henhold til CPRA udvides denne ret til også at give forbrugerne mulighed for at forhindre virksomheder i at “dele” deres oplysninger med tredjeparter. “Deling” betyder i denne sammenhæng, at en virksomhed deler, videregiver eller udlejer en forbrugers PI til en tredjepart med henblik på tværkontekstuel adfærdsbaseret reklame, uanset om det sker mod betaling eller anden værdifuld modydelse eller ej, herunder hvor der ikke udveksles penge. “Reklame på tværs af kontekster”: målretning af reklamer til en forbruger på grundlag af PI fra forbrugerens aktivitet på tværs af andre virksomheder, websteder, apps eller tjenester end dem, som forbrugeren bevidst interagerer med. I lighed med retten til at fravælge salg i CCPA omfatter retten til fravalg af deling ikke deling af PI med tjenesteudbydere og kontrahenter.

Udvider bestemmelsen om ikke-forskelsbehandling til at omfatte forbud mod repressalier: CPRA ændrer forbrugernes ret til ikke-diskrimination til at omfatte et forbud mod repressalier mod en ansat, en ansættelsesansøger eller en uafhængig entreprenør for at udøve deres rettigheder i henhold til loven.

Tilføjer kontraktkrav for alle personer, der modtager PI: CPRA tilføjer nye kontraktkrav for alle personer, der modtager PI, herunder salg og deling, samt tjenesteudbydere og kontrahenter. Kontrakten skal nu:

1. Specificere, at oplysninger leveres til begrænsede og specificerede formål;
2. Forpligte den person, der modtager oplysninger, til at overholde CPRA og “yde samme niveau af beskyttelse af privatlivets fred, som kræves af” CPRA;
3. Giver virksomheden ret til at sikre, at oplysninger overføres “på en måde, der er i overensstemmelse med virksomhedens forpligtelser i henhold til dette afsnit”;
4. Kræver, at den person, der modtager PI, skal underrette virksomheden, hvis den ikke længere kan opfylde sine forpligtelser i henhold til CPRA;
5. Giver virksomheden ret til at tage skridt til at standse og afhjælpe uautoriseret brug af PI.

Større rettigheder for børn

Større administrative bøder for børns PI: CPRA øger de administrative bøder for enhver overtrædelse af loven, der involverer PI af børn under 16 år, op til et potentielt beløb på 7 500 USD pr. overtrædelse. I henhold til CCPA var denne straf kun forbeholdt forsætlige overtrædelser. Den maksimale bøde på 2 500 USD for alle andre ikke-forsætlige handlinger, der involverer personer på 16 år og derover, forbliver uændret.

Kræver samtykke til deling af PI om børn under 16 år: Ligesom CPRA udvider forbrugernes ret til at fravælge salg af PI til også at omfatte retten til at fravælge deling af PI med tredjeparter, omfatter CCPA’s krav om, at en virksomhed skal indhente et bekræftende samtykke til at sælge PI om børn under 16 år nu også deling af børns PI. CPRA opfordrer også til regeludstedelse med henblik på at “fastlægge tekniske specifikationer for et signal om fravalg, der giver forbrugeren eller forbrugerens forældre eller værge mulighed for at angive, at forbrugeren er under 13 år eller mindst 13 år og under 16 år.”

Nyt overvågningsorgan for beskyttelse af privatlivets fred, ny regeludstedelse og udvidet privat søgsmålsret

Instifter det nye California Privacy Protection Agency (CPPA): Som nævnt ovenfor opretter CPRA et nyt agentur, CPPA, som skal “gennemføre og håndhæve” CCPA og CPRA (når det træder i kraft). CPPA vil være det første agentur for beskyttelse af privatlivets fred i USA, der udelukkende er rettet mod beskyttelse af forbrugernes personoplysninger, og det vil have et bredt mandat til at undersøge mulige overtrædelser af CPRA, håndhæve CPRA gennem administrative foranstaltninger og udstede regler.

Kræver en ny regeludstedelse om forsikring: CPRA kræver, at CPPA skal “gennemgå den eksisterende californiske forsikringslovgivning” vedrørende forbrugernes privatliv, undtagen bestemmelser vedrørende forsikringssatser og prisfastsættelse. CPPA skal afgøre, om forsikringsloven giver større beskyttelse af privatlivets fred end CPRA, og hvis ikke, “skal” CPPA vedtage en forordning, der anvender den større beskyttelse i CPRA på forsikringsselskaber. Forsikringskommissæren skal dog fortsat have kompetence med hensyn til forsikringssatser og prisfastsættelse.

Kræver en ny regeludformning om cybersikkerhed og privatlivets fred: CPPA skal udstede regler, der kræver, at virksomheder, “hvis behandling af forbrugernes personlige oplysninger udgør en betydelig risiko for forbrugernes privatliv eller sikkerhed”, skal (1) foretage en cybersikkerhedsrevision på årsbasis og (2) indsende en risikovurdering til CPPA med hensyn til deres behandling af PI.

Udvider rækkevidden af den private ret til at anlægge sag: CPRA udvider anvendelsesområdet for den private søgsmålsret ved at tilføje en søgsmålsgrund for uautoriseret adgang og exfiltrering, tyveri eller videregivelse af en e-mail-adresse i kombination med en adgangskode eller et sikkerhedsspørgsmål og -svar, der kan give adgang til indhold. Tidligere anerkendte CCPA kun en søgsmålsgrund i forbindelse med ikke-krypteret eller ikke-kredigeret PI. CPRA præciserer også, at gennemførelsen og opretholdelsen af rimelige sikkerhedsprocedurer og -praksis efter bruddet ikke udgør en afhjælpning.

Konklusion

CPRA er endnu et eksempel på det hurtigt udviklende landskab for beskyttelse af privatlivets fred. Men bag volatiliteten ligger en klar tendens til øgede forpligtelser for virksomheder til at beskytte privatlivets fred, som næsten helt sikkert vil fortsætte i en fart, både i USA og i resten af verden. I dette miljø vil de, der forbereder sig tidligt, og de, der har et solidt greb om loven og om, hvilke data de har, hvor de kommer fra, hvor de går hen, og hvor længe de opbevarer dem, være dem, der er bedst positioneret til at overholde reglerne.