Elfogadták Kalifornia új adatvédelmi törvényét, a CPRA-t: Most mi lesz?

2020. november 3-án a kaliforniai választók mintegy 56-44%-os arányban elfogadták a 24. javaslatot, a kaliforniai adatvédelmi törvényt (CPRA). Ez a törvény módosítja és felváltja a még mindig friss kaliforniai adatvédelmi törvényt (CCPA), amint az 2023. január 1-jén hatályba lép.

A törvény a CCPA meglévő keretére épül, kiterjeszti a fogyasztók adatvédelmi jogait, hogy jobban igazodjon az uniós GDPR-hoz, további kötelezettségeket ró a vállalkozásokra, és létrehozza az ország első, az adatvédelmi szabályozással és végrehajtással foglalkozó ügynökségét, a Kaliforniai Adatvédelmi Ügynökséget (CCPA). Az alábbiakban felvázoltuk azokat a legfontosabb pontokat, amelyeket tudnia kell ahhoz, hogy megkezdhesse a felkészülést a CPRA-ra.

Amint az adatvédelem esetében gyakran előfordul, minél korábban készül, annál könnyebb a megfelelés.

MIT KELL TUDNIA

Főbb dátumok és azonnali változások

Az operatív és végrehajtási dátumok: A CPRA egésze csak 2023. január 1-jén lép hatályba, és csak a 2022. január 1-jén vagy azt követően gyűjtött információkra vonatkozik. A végrehajtás csak 2023. július 1-jén kezdődik. Addig a CCPA marad az irányadó adatvédelmi rendszer.

Közvetlen változások: A törvény elfogadásának lesz néhány azonnali hatása, többek között:

1. A munkavállalói mentesség kiterjesztése: A munkavállalók és a vállalkozások közötti adatokra vonatkozó mentességeket 2023. január 1-jéig meghosszabbítják.
2. A Kaliforniai Adatvédelmi Ügynökség (CPPA) létrehozása: Az adatvédelmi felügyeletet ellátó ügynökség, a CPPA azonnal hatályba lép. A CPPA öttagú igazgatótanácsát a törvény hatályba lépését követő 90 napon belül kell kinevezni, ami a zárószavazás államtitkári hitelesítését követő 5 napon belül történik meg.

FŐ RENDELKEZÉSEK

Meghatározási változások:

Az “érzékeny” személyes adatok új alkategóriája: A CPRA fenntartja a személyes adatok tizenegy kategóriáját a CCPA-ban, de kiegészül az “érzékeny” személyes adatok új alkategóriájával (érzékeny személyes adatok). A fogyasztóknak mostantól fokozott jogaik lesznek, ha érzékeny személyes adatokról van szó, beleértve az ilyen adatok felhasználásának és közzétételének korlátozásához való új jogot. Az érzékeny személyes adatok közé tartozik (1) a társadalombiztosítási, a jogosítvány, az állami személyazonosító igazolvány vagy az útlevél száma; (2) a jelszóval ellátott fiókbejelentkezési adatok; (3) a fogyasztó pontos földrajzi elhelyezkedése; (4) a faji vagy etnikai származás, a vallási meggyőződés vagy a szakszervezeti tagság; (5) a fogyasztó levelezésének, e-mailjének vagy szöveges üzenetének tartalma, kivéve, ha a vállalkozás a címzett; (6) a fogyasztó genetikai adatai; (7) a biometrikus adatok feldolgozása a fogyasztó azonosítása érdekében; (8) egy személy egészségére vonatkozó elemzett személyes adatok; és (9) a fogyasztó szexuális életére vagy szexuális irányultságára vonatkozó elemzett személyes adatok.

A “harmadik fél” új meghatározása: A CPRA új fogalommeghatározással egészíti ki a harmadik fél fogalmát, amely a negatív meghatározás szerint kizárja a szolgáltatókat, a vállalkozókat és minden olyan vállalkozást, amellyel a fogyasztó szándékosan lép kapcsolatba, és amely a fogyasztónak a vállalkozással való kapcsolatának részeként információkat gyűjt a fogyasztótól. Ezek a kivételek különösen fontosak, tekintettel a fogyasztók újonnan kibővített jogára, hogy lemondjanak az adataik harmadik felekkel való “megosztásáról” (lásd alább)..

A “profilalkotás” új meghatározása (és részleges korlátozása): A CPRA kiegészíti a “profilalkotás” fogalommeghatározását, amely a személyes adatok “automatizált feldolgozásának bármely formáját” jelenti, amelyet “egy személy preferenciáinak, gazdasági helyzetének, munkateljesítményének, egészségének, érdeklődésének, viselkedésének, helyének, megbízhatóságának vagy mozgásának elemzésére vagy előrejelzésére használnak” A profilalkotást a fogyasztók részben korlátozhatják azáltal, hogy az érzékeny személyes adatok felhasználását és közzétételét meghatározott “üzleti célokra” korlátozhatják (lásd alább), amelyek kizárják a profilalkotást, kivéve ha a fogyasztó ésszerűen arra számít, hogy a profilalkotás szükséges a kért szolgáltatások vagy áruk nyújtásához. Ez jelentős hatással lehet a mesterséges intelligencia felhasználásának és magyarázatának módjára.

Az üzleti kötelezettségek módosítása

Az adatmegőrzés korlátozása és a megőrzési időszakok közzétételének előírása: A CPRA előírja a vállalkozások számára, hogy tájékoztassák a fogyasztókat arról, hogy a vállalkozás mennyi ideig szándékozik megőrizni a személyes adatok egyes kategóriáit, beleértve az érzékeny személyes adatokat is. Ha az időtartam meghatározása valamilyen okból nem lehetséges, a vállalkozásnak legalább a megőrzési időszak meghatározásához használt kritériumokról tájékoztatnia kell a fogyasztókat. A vállalkozás semmiképpen sem őrizheti meg a fogyasztó személyes adatait vagy érzékeny személyes adatait tovább, mint amennyi ésszerű módon szükséges ahhoz a nyilvánosságra hozott célhoz, amelyre azokat gyűjtötték.

Hozzáad egy jogot az érzékeny személyes adatok felhasználásának és nyilvánosságra hozatalának korlátozására: Amint fentebb említettük, az érzékeny személyes adatok alkategóriájának felvételével a fogyasztónak új joga keletkezik az információk ezen kategóriájának felhasználását és nyilvánosságra hozatalát korlátozni. A felhasználás és közzététel korlátozásához való jog akkor lép életbe, ha az érzékeny személyes adatokat a fogyasztóra vonatkozó jellemzők kikövetkeztetése céljából gyűjtik vagy dolgozzák fel. A fogyasztó a következőkre korlátozhatja érzékeny személyes adatainak felhasználását vagy nyilvánosságra hozatalát: (1) a szolgáltatások teljesítéséhez vagy az áruk biztosításához szükséges mértékre, valamint (2) bizonyos korlátozott “üzleti szolgáltatásokra”. A nem a fogyasztóra vonatkozó jellemzők “kikövetkeztetése” céljából gyűjtött vagy feldolgozott érzékeny személyes adatok személyes adatként kezelendők, és nem tartoznak e korlátozás hatálya alá. Az érzékeny PI-t az adatvédelmi tájékoztatóban külön fel kell tüntetni, és a fogyasztókat tájékoztatni kell arról, hogy az érzékeny PI felhasználásának és közzétételének korlátozásához való jogukkal élhetnek, és lehetőséget kell biztosítani számukra annak gyakorlására.

Hozzáadja a pontatlan PI helyesbítéséhez való jogot: A CPRA új fogyasztói joggal egészíti ki a pontatlan személyes adatok helyesbítéséhez való jogot. A vállalkozások ezentúl kötelesek lesznek az adatvédelmi szabályzatukban foglaltakhoz hozzáadni egy erre a jogra vonatkozó értesítést, és az ilyen kérelmekre való reagálásra vonatkozó politikákat és eljárásokat bevezetni.

Kiterjeszti a fogyasztók opt-out jogát a személyes adatoknak a keresztkontextuális reklámozás céljából történő megosztására: A CCPA értelmében a fogyasztóknak joguk van arra, hogy utasítsák a vállalkozásokat, hogy ne adják el a személyes adataikat (ez a jog az eladásból való kilépés joga). A CPRA értelmében ez a jog kiterjesztésre kerül, és lehetővé teszi a fogyasztók számára, hogy megakadályozzák, hogy a vállalkozások harmadik felekkel is “megosszák” adataikat. A “megosztás” ebben az összefüggésben azt jelenti, hogy a vállalkozás megosztja, nyilvánosságra hozza vagy bérbe adja a fogyasztó személyes adatait egy harmadik félnek kereszt-kontextuális viselkedésalapú reklámozás céljából, akár pénzért, akár más értékes ellenszolgáltatásért, akár nem, beleértve azokat az eseteket is, amikor nem történik pénzváltás. “Kereszt-kontextuális reklám”: a fogyasztónak szóló reklámok célzott célzása a fogyasztó tevékenységéből származó PI alapján, a fogyasztó által szándékosan kapcsolatba lépett vállalkozástól, weboldaltól, alkalmazástól vagy szolgáltatástól eltérő vállalkozásokon, weboldalakon, alkalmazásokon vagy szolgáltatásokon keresztül. A CCPA-ban szereplő, az értékesítésből való kilépéshez való joghoz hasonlóan a megosztásból való kilépés joga nem terjed ki a PI-nek a szolgáltatókkal és vállalkozókkal való megosztására.

Kiterjeszti a megkülönböztetésmentességre vonatkozó rendelkezést a megtorlás tilalmára: A CPRA módosítja a fogyasztók megkülönböztetésmentességhez való jogát, hogy az magában foglalja a munkavállalóval, álláskeresővel vagy független vállalkozóval szembeni megtorlás tilalmát a törvény szerinti bármely joguk gyakorlása miatt.

Adds contract requirements for all persons that receive PI: A CPRA új szerződéses követelményeket ír elő minden olyan személy számára, aki PI-t kap, beleértve az értékesítést és a megosztást, valamint a szolgáltatókat és a vállalkozókat. A szerződésnek mostantól:

1. meg kell határozni, hogy az adatokat korlátozott és meghatározott célokra adják át;
2. kötelezni kell az adatokat átvevő személyt a CPRA betartására és “ugyanolyan szintű adatvédelem biztosítására, mint amilyet a CPRA előír”;
3. A vállalkozásnak biztosítja a jogot annak biztosítására, hogy az információk átadása “a vállalkozás e cím szerinti kötelezettségeivel összhangban lévő módon” történjen;
4. felszólítja a személyes adatokat átvevő személyt, hogy értesítse a vállalkozást, ha az már nem tudja teljesíteni a CPRA szerinti kötelezettségeit;
5. a vállalkozásnak biztosítja a jogot, hogy lépéseket tegyen a személyes adatok jogosulatlan felhasználásának leállítására és orvoslására.

Növeli a gyermekek jogait

Növeli a gyermekek PI-vel kapcsolatos közigazgatási bírságokat: A CPRA megnöveli a 16 év alatti gyermekek PI-jét érintő törvénysértésekért kiszabható közigazgatási bírságokat, jogsértésenként akár 7500 dollárra. A CCPA értelmében ez a büntetés csak a szándékos jogsértések esetében volt fenntartva. A 16 éves vagy annál idősebb személyeket érintő minden más, nem szándékos cselekményre vonatkozó 2500 dolláros maximális bírság változatlan marad.

A 16 év alatti gyermekek személyes adatainak megosztásához opt-in beleegyezést követel meg: Ahogy a CPRA kiterjeszti a fogyasztók azon jogát, hogy lemondjanak a személyes adatok értékesítéséről, a harmadik felekkel való megosztásról való lemondás jogára is, a CCPA azon követelménye, hogy a vállalkozásoknak a 16 év alatti gyermekek személyes adatainak értékesítéséhez opt-in beleegyezést kell kérniük, mostantól a gyermekek személyes adatainak megosztására is kiterjed. A CPRA emellett szabályalkotásra szólít fel “olyan opt-out preferenciajelzés technikai specifikációinak megállapítása érdekében, amely lehetővé teszi a fogyasztó, illetve a fogyasztó szülője vagy gyámja számára, hogy meghatározza, hogy a fogyasztó 13 évesnél fiatalabb, vagy legalább 13 éves és 16 évesnél fiatalabb.”

Új adatvédelmi felügyeleti ügynökség, új szabályalkotás és kiterjesztett magánjogi keresetindítási jog

Elhelyezi az új kaliforniai adatvédelmi ügynökséget (CPPA): Amint fentebb említettük, a CPRA egy új ügynökséget hoz létre, a CPPA-t, “a CCPA és a CPRA “végrehajtására és végrehajtására” (amikor az hatályba lép). A CPPA lesz az első olyan adatvédelmi ügynökség az Egyesült Államokban, amely kizárólag a fogyasztói adatvédelemmel foglalkozik, és széleskörű megbízatással rendelkezik a CPRA esetleges megsértésének kivizsgálására, a CPRA közigazgatási intézkedésekkel történő végrehajtására és szabályok kihirdetésére.

Új szabályalkotást ír elő a biztosításról: A CPRA előírja a CPPA számára, hogy “vizsgálja felül a meglévő kaliforniai biztosítási törvényt” a fogyasztók adatainak védelme tekintetében, kivéve a biztosítási díjakra és árképzésre vonatkozó rendelkezéseket. A CPPA-nak meg kell határoznia, hogy a biztosítási törvénykönyv nagyobb védelmet nyújt-e a magánélet védelmére, mint a CPRA, és ha nem, a CPPA “elfogad egy olyan rendeletet”, amely a CPRA nagyobb védelmét alkalmazza a biztosítótársaságokra. A biztosítási biztos azonban fenntartja joghatóságát a biztosítási díjak és az árképzés tekintetében.

Új szabályalkotást igényel a kiberbiztonságról és a magánélet védelméről: A CPPA rendeleteket bocsát ki, amelyek előírják az olyan vállalkozások számára, “amelyeknek a fogyasztók személyes adatainak feldolgozása jelentős kockázatot jelent a fogyasztók magánéletére vagy biztonságára nézve”, hogy (1) évente végezzenek kiberbiztonsági ellenőrzést, és (2) nyújtsanak be kockázatértékelést a CPPA-nak a személyes adatok feldolgozásával kapcsolatban.

Kiterjeszti a magánindítványok benyújtásához való jog hatályát: A CPRA kiterjeszti a magánindítványhoz való jog hatályát azáltal, hogy egy olyan jelszóval vagy biztonsági kérdéssel és válasszal kombinált e-mail cím jogosulatlan hozzáférése és kiszivárogtatása, ellopása vagy nyilvánosságra hozatala esetén, amely lehetővé teszi a tartalomhoz való hozzáférést. Korábban a CCPA csak a nem titkosított vagy nem szerkesztett személyes adatokra vonatkozó keresetindítási okot ismerte el. A CPRA azt is tisztázza, hogy a jogsértést követő ésszerű biztonsági eljárások és gyakorlatok végrehajtása és fenntartása nem minősül gyógyulásnak.

Következtetés

A CPRA újabb példája a gyorsan változó adatvédelmi környezetnek. Az ingadozás mögött azonban egyértelmű tendencia húzódik meg a vállalatok fokozott adatvédelmi kötelezettségei felé, amely szinte bizonyosan gyors ütemben fog folytatódni mind az Egyesült Államokban, mind világszerte. Ebben a környezetben azok lesznek a legjobban felkészülve a megfelelésre, akik időben felkészülnek, és azok, akik pontosan ismerik a törvényt és tudják, milyen adatokkal rendelkeznek, honnan származnak, hová kerülnek és mennyi ideig tartják meg azokat.

Azok lesznek a legjobban felkészülve a megfelelésre.