Kalifornian uusi tietosuojalaki, CPRA, hyväksyttiin: Mitä nyt?

3. marraskuuta 2020 kalifornialaiset äänestäjät hyväksyivät ehdotuksen 24 eli Kalifornian yksityisyydensuojalain (CPRA) noin 56-44 prosentilla. Tämä laki muuttaa ja korvaa vielä tuoreen Kalifornian kuluttajansuojalain (California Consumer Privacy Act, CCPA), kun se tulee voimaan 1. tammikuuta 2023.

Laki perustuu CCPA:n nykyisiin puitteisiin, laajentaa kuluttajien yksityisyydensuojaa koskevia oikeuksia, jotta ne vastaisivat paremmin EU:n yleistä tietosuoja-asetusta (GDPR), asettaa yrityksille lisävelvoitteita ja perustaa Kalifornian ensimmäisen yksityisyydensuojan sääntelyyn ja noudattamisen valvontaan erikoistuneen viraston, Kalifornian tietosuojaviranomaisen (California Privacy Protection Agency, CCPA). Alla on hahmoteltu keskeiset seikat, jotka sinun on tiedettävä, jotta voit aloittaa valmistautumisen CPRA:han.

Kuten yksityisyydensuojan kohdalla on usein tapana, mitä aikaisemmin valmistaudut, sitä helpommin noudatat lakia.

MITÄ SINUN TARVITSEE TIETÄÄ

Keskeiset päivämäärät ja välittömät muutokset

Toimivuus- ja täytäntöönpanopäivämäärät: CPRA tulee kokonaisuudessaan voimaan vasta 1. tammikuuta 2023, ja sitä sovelletaan vasta 1. tammikuuta 2022 tai sen jälkeen kerättyihin tietoihin. Täytäntöönpano alkaa vasta 1. heinäkuuta 2023. Siihen asti CCPA pysyy voimassa olevana yksityisyyden suojaa koskevana järjestelmänä.

Välittömät muutokset: Lain hyväksymisellä on joitakin välittömiä vaikutuksia, muun muassa:

1. Työntekijöitä koskevan poikkeuksen laajentaminen: Työntekijöitä ja yritysten välisiä tietoja koskevia poikkeuksia jatketaan 1. tammikuuta 2023 asti.
2. Kalifornian tietosuojaviraston (CPPA) perustaminen: Yksityisyyden suojaa valvova virasto, CPPA, tulee voimaan välittömästi. CPPA:n viisijäseninen johtokunta on nimitettävä 90 päivän kuluessa lain voimaantulosta, joka tapahtuu 5 päivää sen jälkeen, kun valtiosihteeri on vahvistanut lopullisen äänestyksen.

KESKEISET SÄÄNNÖKSET

Määritelmämuutokset: CPRA:ssa on useita tärkeitä muutoksia määritelmiin, muun muassa:

Uusi ”arkaluonteisten” henkilötietojen alaluokka: CPRA:ssa säilytetään CCPA:n yksitoista henkilötietoluokkaa, mutta siihen lisätään uusi alaluokka ”arkaluonteiset” henkilötiedot (Sensitive PI). Kuluttajilla on nyt tiukemmat oikeudet, kun kyseessä on arkaluonteinen henkilötieto, mukaan lukien uusi oikeus rajoittaa tällaisten tietojen käyttöä ja luovuttamista. Arkaluonteisia henkilötietoja ovat (1) sosiaaliturvatunnus, ajokortin, henkilötodistuksen tai passin numero, (2) tilin kirjautumistiedot ja salasana, (3) kuluttajan tarkka maantieteellinen sijainti, (4) rotu tai etninen alkuperä, uskonnollinen vakaumus tai ammattiliiton jäsenyys; (5) kuluttajan postin, sähköpostin tai tekstiviestin sisältö, ellei yritys ole tarkoitettu vastaanottaja; (6) kuluttajan geneettiset tiedot; (7) biometristen tietojen käsittely kuluttajan tunnistamiseksi; (8) henkilön terveyttä koskevat analysoidut henkilötiedot; ja (9) kuluttajan sukupuolielämää tai seksuaalista suuntautumista koskevat analysoidut henkilötiedot.

Uusi ”kolmannen osapuolen” määritelmä: CPRA:ssa lisätään uusi määritelmä kolmannelle osapuolelle, joka määritellään kielteisessä tekstissä siten, että se sulkee pois palveluntarjoajat, urakoitsijat ja kaikki yritykset, joiden kanssa kuluttaja on tarkoituksellisesti vuorovaikutuksessa ja jotka keräävät tietoja kuluttajalta osana kuluttajan ja yrityksen välistä vuorovaikutusta. Nämä poikkeukset ovat erityisen tärkeitä, kun otetaan huomioon kuluttajien hiljattain laajennettu oikeus kieltää tietojensa ”jakaminen” kolmansien osapuolten kanssa (käsitellään jäljempänä)..

Uusi ”profiloinnin” määritelmä (ja osittainen rajoitus): CPRA:ssa lisätään ”profiloinnin” määritelmä, joka tarkoittaa ”kaikenlaista automaattista tietojenkäsittelyä”, jota käytetään ”analysoimaan tai ennustamaan henkilön mieltymyksiä, taloudellista tilannetta, työsuoritusta, terveyttä, kiinnostuksen kohteita, käyttäytymistä, sijaintia, luotettavuutta tai liikkeitä”. Kuluttajat voivat nyt osittain rajoittaa profilointia oikeudella rajoittaa arkaluonteisten tietojen käyttöä ja luovuttamista tiettyihin ”liiketoimintatarkoituksiin” (joita käsitellään jäljempänä), jotka sulkevat pois profiloinnin, paitsi jos kuluttaja perustellusti odottaa, että profiloinnin käyttö ja luovuttaminen on tarpeellista pyytämiensä palveluiden suorittamiseksi tai pyydettyjen tavaroiden toimittamiseksi. Tällä voi olla merkittäviä vaikutuksia siihen, miten tekoälyä voidaan käyttää ja miten sitä voidaan selittää.

Yritysvelvoitteiden muutokset

Rajoitetaan tietojen säilyttämistä ja edellytetään säilytysaikojen ilmoittamista: CPRA:n mukaan yritysten on ilmoitettava kuluttajille, kuinka kauan yritys aikoo säilyttää kutakin tietoluokkaa, myös arkaluonteista tietoa. Jos säilytysajan määrittäminen ei jostain syystä ole mahdollista, yrityksen on ilmoitettava kuluttajille vähintään säilytysajan määrittämisessä käytetyt perusteet. Yritys ei saa missään tapauksessa säilyttää kuluttajan henkilötietoja tai arkaluonteisia henkilötietoja pidempään kuin on kohtuullisen tarpeellista sen julkistetun tarkoituksen kannalta, jota varten ne on kerätty.

Lisätään oikeus rajoittaa arkaluonteisten henkilötietojen käyttöä ja luovuttamista: Kuten edellä todettiin, arkaluonteisten henkilötietojen alaluokan lisäämisen myötä kuluttajalla on uusi oikeus rajoittaa tämän tietoluokan käyttöä ja luovuttamista. Oikeus käytön ja luovuttamisen rajoittamiseen syntyy, kun arkaluonteisia henkilötietoja kerätään tai käsitellään kuluttajan ominaisuuksien päättelemiseksi. Kuluttaja voi rajoittaa arkaluonteisten henkilötietojensa käyttöä tai luovuttamista seuraavasti: (1) siihen, mikä on tarpeen palvelujen suorittamiseksi tai tavaroiden toimittamiseksi, ja (2) tiettyihin rajoitettuihin ”yrityspalveluihin”. Arkaluonteisia henkilötietoja, joita ei ole kerätty tai käsitelty kuluttajan ominaisuuksien ”päättelemiseksi”, käsitellään henkilötietoina, eikä niihin sovelleta tätä rajoitusta. Arkaluonteiset henkilötiedot on ilmoitettava erikseen tietosuojailmoituksessa, ja kuluttajille on annettava tieto ja mahdollisuus käyttää oikeuttaan suostua arkaluonteisten henkilötietojensa käytön ja luovuttamisen rajoittamiseen.

Lisätään oikeus korjata epätarkat henkilötiedot: CPRA:lla lisätään uusi kuluttajan oikeus korjata epätarkat henkilötiedot. Yritysten on nyt lisättävä ilmoitus tästä oikeudesta tietosuojakäytäntöjensä tietosuojakäytäntöihin ja otettava käyttöön käytännöt ja menettelyt, joilla näihin pyyntöihin vastataan.

Lisää kuluttajan opt-out-oikeudet PI:n jakamiseen ristikkäistä mainontaa varten: CCPA:n mukaan kuluttajilla on oikeus määrätä yrityksiä olemaan myymättä heidän henkilötietojansa (ns. oikeus kieltäytyä myynnistä). CPRA:n nojalla tätä oikeutta laajennetaan siten, että kuluttajat voivat estää yrityksiä ”jakamasta” heidän tietojaan myös kolmansien osapuolten kanssa. ”Jakamisella” tarkoitetaan tässä yhteydessä sitä, että yritys jakaa, paljastaa tai vuokraa kuluttajan henkilötiedot kolmannelle osapuolelle ristikkäistä käyttäytymiseen perustuvaa mainontaa varten riippumatta siitä, onko kyse rahasta tai muusta arvokkaasta vastikkeesta vai ei, mukaan lukien tapaukset, joissa rahaa ei vaihdeta. ”Kontekstien välisellä mainonnalla” tarkoitetaan mainonnan kohdentamista kuluttajalle, joka perustuu kuluttajan toiminnasta saatuihin tietoihin muissa yrityksissä, verkkosivustoilla, sovelluksissa tai palveluissa kuin siinä, jonka kanssa kuluttaja on tarkoituksellisesti vuorovaikutuksessa. Samoin kuin CCPA:n oikeus kieltäytyä myynnistä, oikeus kieltäytyä jakamisesta ei ulotu PI:n jakamiseen palveluntarjoajien ja alihankkijoiden kanssa.

Laajentaa syrjintäkieltoa koskevan säännöksen koskemaan myös vastatoimien kieltämistä: CPRA:lla muutetaan kuluttajan syrjimättömyysoikeutta siten, että se sisältää kiellon vastatoimista työntekijää, työnhakijaa tai itsenäistä toimeksisaajaa vastaan, jos tämä käyttää lakiin perustuvia oikeuksiaan.

Lisätään sopimusvaatimukset kaikille henkilöille, jotka vastaanottavat henkilötietoja: CPRA lisää uusia sopimusvaatimuksia kaikille henkilöille, jotka vastaanottavat henkilötietoja, mukaan lukien myynti ja jakaminen, sekä palveluntarjoajille ja urakoitsijoille. Sopimuksessa on nyt oltava:

1. Määriteltävä, että tietoja annetaan rajoitettuihin ja määriteltyihin tarkoituksiin;
2. Velvoitettava tietoja vastaanottava henkilö noudattamaan CPRA:ta ja ”tarjoamaan yksityisyyden suojan samaa tasoa kuin CPRA:ssa vaaditaan”;
3. Valvoa yritykselle oikeus varmistaa, että tiedot siirretään ”tavalla, joka on yhdenmukainen yrityksen tämän osaston mukaisten velvoitteiden kanssa”;
4. Velvoittaa henkilö, joka vastaanottaa yksityisyydensuojaa, ilmoittamaan yritykselle, jos se ei voi enää täyttää CPRA:n velvoitteita;
5. Valvoa yritykselle oikeus ryhtyä toimenpiteisiin yksityisyydensuojaa koskevien tietojen luvattoman käytön pysäyttämiseksi ja korjaamiseksi.

Lasten oikeuksien lisääminen

Korottaa hallinnollisia sakkoja lasten PI:stä: CPRA korottaa hallinnollisia sakkoja kaikista lain rikkomisista, jotka koskevat alle 16-vuotiaiden lasten PI:tä, jopa 7 500 dollariin rikkomusta kohti. CCPA:n mukaan tämä rangaistus oli varattu vain tahallisista rikkomuksista. Enimmäissakko 2 500 dollaria kaikista muista kuin tahallisista teoista, joihin liittyy 16-vuotiaita tai sitä vanhempia henkilöitä, pysyy ennallaan.

Velvoitetaan opt-in-suostumus alle 16-vuotiaiden lasten henkilötietojen jakamiseen: Aivan kuten CPRA laajentaa kuluttajien oikeutta kieltäytyä henkilötietojen myynnistä koskemaan myös oikeutta kieltäytyä henkilötietojen jakamisesta kolmansien osapuolten kanssa, CCPA:n vaatimus siitä, että yritysten on hankittava suostumus alle 16-vuotiaiden lasten henkilötietojen myyntiin, koskee nyt myös lasten henkilötietojen jakamista. CPRA:ssa kehotetaan myös laatimaan säännöt, jotta ”voidaan laatia tekniset eritelmät opt-out-preferenssisignaalia varten, jonka avulla kuluttaja tai kuluttajan vanhempi tai huoltaja voi ilmoittaa, että kuluttaja on alle 13-vuotias tai vähintään 13-vuotias ja alle 16-vuotias.”

Uusi yksityisyyden suojaa valvova virasto, uusi sääntöjen laatiminen ja laajennettu yksityinen kanneoikeus

Valmistetaan uusi Kalifornian yksityisyyden suojaa valvova virasto (Privacy Protection Agency, CPPA): Kuten edellä todettiin, CPRA:lla perustetaan uusi virasto, CPPA, joka ”panee täytäntöön ja valvoo” CCPA:ta ja CPRA:ta (kun se tulee voimaan). CPPA:sta tulee ensimmäinen yksityisyyden suojaa käsittelevä virasto Yhdysvalloissa, joka keskittyy yksinomaan kuluttajien tietosuojaan, ja sillä on laajat valtuudet tutkia mahdollisia CPRA:n rikkomuksia, valvoa CPRA:n noudattamista hallinnollisin toimin ja antaa sääntöjä.

Tarvitaan uutta sääntelyä vakuutuksista: CPRA:n mukaan CPPA:n on ”tarkistettava voimassa olevaa Kalifornian vakuutuslakia” kuluttajien yksityisyyden suojan osalta, lukuun ottamatta vakuutusmaksuja ja hinnoittelua koskevia säännöksiä. CPPA:n on määriteltävä, tarjoaako vakuutuslaki paremman yksityisyyden suojan kuin CPRA, ja jos ei, CPPA:n ”on” annettava asetus, jolla sovelletaan CPRA:n parempaa suojaa vakuutusyhtiöihin. Vakuutuskomissaari säilyttää kuitenkin toimivaltansa vakuutusmaksuihin ja -hinnoitteluun.

Tarvitaan uutta sääntelyä kyberturvallisuudesta ja yksityisyyden suojasta: CPPA:n on annettava asetuksia, joissa edellytetään, että yritykset, ”joiden kuluttajien henkilötietojen käsittely aiheuttaa merkittävän riskin kuluttajien yksityisyydelle tai turvallisuudelle”, 1) suorittavat vuosittain kyberturvallisuustarkastuksen ja 2) toimittavat CPPA:lle riskinarvioinnin henkilötietojen käsittelystään.

Lisää yksityisen kanneoikeuden soveltamisalaa: CPRA laajentaa yksityisen kanneoikeuden soveltamisalaa lisäämällä kanneperusteen, joka koskee sähköpostiosoitteen luvatonta käyttöä ja poistamista, varastamista tai paljastamista yhdessä salasanan tai turvakysymyksen ja -vastauksen kanssa, joka voi mahdollistaa pääsyn sisältöön. Aiemmin CCPA:ssa tunnustettiin kanneperuste, joka koski vain salaamattomia tai muokkaamattomia henkilötietoja. CPRA:ssa selvennetään myös, että kohtuullisten turvallisuusmenettelyjen ja -käytäntöjen toteuttaminen ja ylläpitäminen tietoturvaloukkauksen jälkeen ei ole parannuskeino.

Johtopäätös

CPRA on jälleen yksi esimerkki nopeasti kehittyvästä yksityisyyden suojasta. Vaihtelun taustalla on kuitenkin selkeä suuntaus kohti yritysten tiukempia tietosuojavelvoitteita, ja tämä suuntaus jatkuu lähes varmasti nopeasti sekä Yhdysvalloissa että kaikkialla maailmassa. Tässä ympäristössä ne, jotka valmistautuvat ajoissa ja jotka hallitsevat lain ja sen, mitä tietoja heillä on, mistä ne ovat peräisin, minne ne menevät ja kuinka kauan ne säilyttävät niitä, ovat parhaiten valmistautuneita noudattamaan lakia.