De nieuwe privacywet van Californië, de CPRA, is goedgekeurd: Wat nu?

Op 3 november 2020 hebben de Californische kiezers Proposition 24, de California Privacy Rights Act (CPRA), met ongeveer 56-44% goedgekeurd. Deze wet zal de nog recente California Consumer Privacy Act (CCPA) wijzigen en vervangen, zodra deze op 1 januari 2023 in werking treedt.

De wet bouwt voort op het bestaande kader van de CCPA, breidt de privacyrechten van consumenten uit om beter aan te sluiten bij de GDPR van de EU, legt bedrijven extra verplichtingen op en richt het eerste agentschap in de natie op dat zich bezighoudt met privacyregelgeving en -handhaving, het California Privacy Protection Agency (CCPA). Hieronder hebben we de belangrijkste punten opgesomd die u moet weten om te beginnen met de voorbereiding op de CPRA.

Zoals vaak het geval is met privacy, hoe eerder de voorbereiding, hoe gemakkelijker de naleving.

WAT JE NODIG HEBT TE WETEN

Key data en onmiddellijke veranderingen

Operatieve en handhavingsdata: De CPRA als geheel zal pas op 1 januari 2023 in werking treden en alleen van toepassing zijn op informatie die op of na 1 januari 2022 is verzameld. De handhaving zal pas op 1 juli 2023 beginnen. Tot die tijd blijft de CCPA de geldende privacyregeling.

Onmiddellijke veranderingen: De goedkeuring van de wet zal een aantal onmiddellijke gevolgen hebben, waaronder:

1. Uitbreiding van de vrijstelling voor werknemers: Vrijstellingen voor werknemers en business-to-business gegevens worden verlengd tot 1 januari 2023.
2. Oprichting van het California Privacy Protection Agency (CPPA): De waakhond privacy agentschap, de CPPA, wordt onmiddellijk van kracht. De vijf leden tellende raad van bestuur van het CPPA moet binnen 90 dagen na de inwerkingtreding van de wet worden benoemd, wat 5 dagen na de certificering van de eindstemming door de staatssecretaris gebeurt.

KEY PROVISIONS

Veranderingen in de definities: Er zijn verschillende belangrijke wijzigingen in de definities in de CPRA, waaronder:

Nieuwe subcategorie van “gevoelige” persoonsgegevens: De CPRA handhaaft de elf categorieën van persoonlijke informatie (PI) van de CCPA, maar voegt de nieuwe subcategorie “gevoelige” persoonlijke informatie (Gevoelige PI) toe. Consumenten zullen nu meer rechten hebben wanneer het om gevoelige PI gaat, waaronder een nieuw recht om het gebruik en de openbaarmaking van dergelijke gegevens te beperken. Gevoelige PI omvat (1) het socialezekerheidsnummer, het nummer van het rijbewijs, de staatsidentiteitskaart of het paspoort; (2) inloggegevens van een account met een wachtwoord; (3) de precieze geografische locatie van een consument; (4) ras of etnische afstamming, godsdienstige overtuiging of lidmaatschap van een vakvereniging; (5) inhoud van de post, e-mail of tekst van een consument, tenzij het bedrijf de beoogde ontvanger is; (6) genetische informatie van de consument; (7) verwerking van biometrische informatie om de consument te identificeren; (8) geanalyseerde PI over de gezondheid van een persoon; en (9) geanalyseerde PI over het seksleven of de seksuele geaardheid van een consument.

Nieuwe definitie van “derde partij”: De CPRA voegt een nieuwe definitie van derde toe, die negatief wordt gedefinieerd om dienstverleners, contractanten en elk bedrijf uit te sluiten waarmee de consument opzettelijk interacteert en dat informatie van de consument verzamelt als onderdeel van de interactie van de consument met het bedrijf. Deze uitzonderingen zijn met name van belang gezien het onlangs uitgebreide recht van de consument om af te zien van het “delen” van zijn informatie met derden (hieronder besproken)..

Nieuwe definitie van (en gedeeltelijke beperking van) “profilering”: De CPRA voegt een definitie van “profilering” toe, waaronder wordt verstaan “elke vorm van geautomatiseerde verwerking” van PI die wordt gebruikt “om aspecten van iemands voorkeuren, economische situatie, werkprestaties, gezondheid, interesses, gedrag, locatie, betrouwbaarheid of bewegingen te analyseren of te voorspellen” Profilering kan nu gedeeltelijk worden beperkt door consumenten via het recht om het gebruik en de openbaarmaking van gevoelige PI te beperken tot specifieke “zakelijke doeleinden” (hieronder besproken), die profilering uitsluiten, tenzij de consument redelijkerwijs verwacht dat profilering noodzakelijk is om de gevraagde diensten uit te voeren of de gevraagde goederen te leveren. Dit kan belangrijke gevolgen hebben voor de manier waarop kunstmatige intelligentie kan worden gebruikt en uitgelegd.

Veranderingen aan zakelijke verplichtingen

Beperkt het bewaren van gegevens en vereist openbaarmaking van bewaartermijnen: De CPRA verplicht bedrijven om consumenten te informeren over de lengte van de periode dat het bedrijf van plan is elke categorie PI, inclusief gevoelige PI, te bewaren. Indien het om een of andere reden niet mogelijk is de bewaartermijn te specificeren, moet het bedrijf de consumenten ten minste informeren over de criteria die zijn gebruikt om de bewaartermijn te bepalen. In geen geval mag het bedrijf de PI of Gevoelige PI van de consument langer bewaren dan redelijkerwijs nodig is voor het bekendgemaakte doel waarvoor de PI is verzameld.

Voegt een recht toe om het gebruik en de openbaarmaking van Gevoelige PI te beperken: Zoals hierboven vermeld, wordt met de toevoeging van de subcategorie Gevoelige PI een nieuw recht voor de consument ingevoerd om het gebruik en de openbaarmaking van deze categorie van informatie te beperken. Dit recht om het gebruik en de openbaarmaking te beperken treedt in werking wanneer Gevoelige PI wordt verzameld of verwerkt met het doel kenmerken over de consument af te leiden. De consument kan het gebruik of de openbaarmaking van zijn Gevoelige PI beperken tot: (1) wat nodig is om diensten te verlenen of goederen te leveren, en (2) bepaalde beperkte “zakelijke diensten”. Gevoelige PI die niet wordt verzameld of verwerkt met als doel kenmerken van de consument “af te leiden”, wordt behandeld als PI en valt niet onder deze beperking. Gevoelige PI moet afzonderlijk worden vermeld in de privacyverklaring en consumenten moeten op de hoogte worden gebracht van hun recht om te kiezen voor beperking van het gebruik en de openbaarmaking van hun gevoelige PI en moeten dit recht kunnen uitoefenen.

Voegt een recht in om onjuiste PI te corrigeren: De CPRA voegt een nieuw consumentenrecht toe om onjuiste PI te corrigeren. Bedrijven zullen nu verplicht zijn een kennisgeving van dit recht toe te voegen aan hun bekendmakingen in het kader van hun privacybeleid en beleid en procedures in te voeren om op deze verzoeken te reageren.

Uitbreiding van de opt-out-rechten van consumenten tot het delen van PI voor cross-contextuele reclame: Onder de CCPA hebben consumenten het recht om bedrijven op te dragen hun PI niet te verkopen (bekend als het recht op opt-out bij verkoop). Onder de CPRA wordt dit recht uitgebreid om consumenten in staat te stellen te voorkomen dat bedrijven hun informatie ook met derden “delen”. “Delen” betekent in deze context dat een bedrijf PI van een consument deelt, bekendmaakt of verhuurt aan een derde partij voor cross-contextgebonden gedragsreclame, al dan niet voor geld of een andere waardevolle tegenprestatie, ook wanneer er geen geld wordt uitgewisseld. “Cross-contextreclame” betekent het richten van reclame op een consument op basis van PI die is verkregen uit de activiteit van de consument in andere bedrijven, websites, apps of diensten dan die waarmee de consument opzettelijk communiceert. Vergelijkbaar met het recht op opt-out bij verkoop in de CCPA, strekt het opt-out-recht op delen zich niet uit tot het delen van PI met dienstverleners en contractanten.

Uitbreiding van de non-discriminatiebepaling tot het verbod op represailles: De CPRA wijzigt het non-discriminatierecht van de consument in die zin dat het verbod op represailles tegen een werknemer, sollicitant of onafhankelijke contractant wegens de uitoefening van een van hun rechten op grond van de wet erin wordt opgenomen.

Voegt contractvereisten toe voor alle personen die PI ontvangen: De CPRA voegt nieuwe contractvereisten toe voor alle personen die PI ontvangen, met inbegrip van het verkopen en delen, alsmede dienstverleners en contractanten. Het contract moet nu:

1. Merken dat informatie wordt verstrekt voor beperkte en gespecificeerde doeleinden;
2. Opleggen aan de persoon die informatie ontvangt om te voldoen aan de CPRA en “hetzelfde niveau van privacybescherming te bieden als wordt vereist door” de CPRA;
3. Geeft het bedrijf het recht ervoor te zorgen dat informatie wordt overgedragen “op een wijze die consistent is met de verplichtingen van het bedrijf uit hoofde van deze titel”;
4. Verplicht de persoon die de PI ontvangt het bedrijf ervan in kennis te stellen als het niet langer aan zijn verplichtingen uit hoofde van de CPRA kan voldoen;
5. Geeft het bedrijf het recht stappen te ondernemen om ongeoorloofd gebruik van PI te stoppen en te verhelpen.

Verhoogde rechten van kinderen

Verhoogt de administratieve boetes voor PI van kinderen: De CPRA verhoogt de administratieve boetes voor overtredingen van de wet met betrekking tot PI van kinderen jonger dan 16 jaar tot een potentiële $ 7.500 per overtreding. Onder de CCPA was deze boete alleen voorbehouden aan opzettelijke overtredingen. De maximumboete van 2500 dollar voor alle andere niet-opzettelijke schendingen waarbij personen van 16 jaar en ouder betrokken zijn, blijft ongewijzigd.

Eist opt-in toestemming voor het delen van PI van kinderen jonger dan 16: net zoals de CPRA het recht van consumenten om zich uit te schrijven voor de verkoop van PI uitbreidt tot het recht om zich uit te schrijven voor het delen van PI met derden, strekt de eis van de CCPA dat een bedrijf bevestigende opt-in toestemming moet krijgen om PI van kinderen jonger dan 16 te verkopen, zich nu ook uit tot het delen van PI van kinderen. De CPRA roept ook op tot regelgeving om “technische specificaties vast te stellen voor een opt-out voorkeurssignaal waarmee de consument, of de ouder of voogd van de consument, kan aangeven dat de consument jonger is dan 13 jaar of ten minste 13 jaar en jonger dan 16 jaar.”

Nieuw waakhond privacybureau, nieuwe regelgeving, en uitgebreid particulier vorderingsrecht

Oprichting van het nieuwe California Privacy Protection Agency (CPPA): Zoals hierboven opgemerkt, richt de CPRA een nieuw agentschap op, de CPPA, “om de CCPA en de CPRA uit te voeren en te handhaven” (wanneer deze van kracht wordt). De CPPA wordt het eerste agentschap in de Verenigde Staten dat zich uitsluitend bezighoudt met de bescherming van de persoonlijke levenssfeer van consumenten en krijgt een ruim mandaat om mogelijke schendingen van de CPRA te onderzoeken, de CPRA door middel van administratieve maatregelen te handhaven en regels af te kondigen.

Vraagt om een nieuwe regelgevingsprocedure over verzekeringen: De CPRA vereist dat de CPPA “de bestaande Californische verzekeringswetgeving herziet” met betrekking tot de privacy van de consument, met uitzondering van bepalingen met betrekking tot verzekeringstarieven en prijzen. De CPPA moet bepalen of de Insurance Code een betere bescherming van de persoonlijke levenssfeer biedt dan de CPRA, en zo niet, dan “stelt” de CPPA een verordening vast die de betere bescherming van de CPRA toepast op verzekeringsmaatschappijen. De Insurance Commissioner behoudt echter de jurisdictie over verzekeringstarieven en -prijzen.

Vraagt om een nieuwe regelgevingsprocedure over cyberbeveiliging en privacy: De CPPA zal voorschriften uitvaardigen die bedrijven “waarvan de verwerking van persoonsgegevens van consumenten een aanzienlijk risico inhoudt voor de privacy of veiligheid van consumenten” verplichten om (1) jaarlijks een cyberveiligheidsaudit uit te voeren en (2) een risicobeoordeling in te dienen bij de CPPA met betrekking tot hun verwerking van PI.

Uitbreiding van de reikwijdte van het particuliere vorderingsrecht: De CPRA breidt de reikwijdte van het particuliere vorderingsrecht uit door een oorzaak van actie toe te voegen voor de ongeoorloofde toegang en exfiltratie, diefstal of openbaarmaking van een e-mailadres in combinatie met een wachtwoord of een beveiligingsvraag en antwoord waarmee toegang tot inhoud kan worden verkregen. Voorheen kon op grond van de CCPA alleen een vordering worden ingesteld met betrekking tot niet-versleutelde of niet-geredigeerde PI. De CPRA verduidelijkt ook dat de invoering en handhaving van redelijke beveiligingsprocedures en -praktijken na de inbreuk geen remedie vormt.

Conclusie

De CPRA is het zoveelste voorbeeld van het snel evoluerende privacylandschap. Maar aan de volatiliteit ligt een duidelijke trend ten grondslag naar strengere privacyverplichtingen voor bedrijven, die vrijwel zeker zal doorzetten, zowel in de Verenigde Staten als in de rest van de wereld. In deze omgeving zullen degenen die zich vroegtijdig voorbereiden, en degenen die een stevige greep hebben op de wet en op welke gegevens ze hebben, waar ze vandaan komen, waar ze naartoe gaan, en hoe lang ze ze bewaren, degenen zijn die het best gepositioneerd zijn om te voldoen aan de wet.