Nowe prawo prywatności w Kalifornii, CPRA, zostało zatwierdzone: Co teraz?

W dniu 3 listopada 2020 r. kalifornijscy wyborcy przegłosowali Proposition 24, California Privacy Rights Act (CPRA), stosunkiem głosów około 56-44%. Ustawa ta zmieni i zastąpi wciąż niedawną California Consumer Privacy Act (CCPA), gdy wejdzie w życie 1 stycznia 2023 r.

Ustawa opiera się na istniejących ramach CCPA, rozszerza prawa konsumentów do prywatności, aby lepiej dostosować się do unijnego GDPR, nakłada dodatkowe obowiązki na firmy i ustanawia pierwszą w kraju agencję poświęconą regulacji prywatności i egzekwowania, California Privacy Protection Agency (CCPA). Poniżej przedstawiliśmy kluczowe punkty, które należy znać, aby rozpocząć przygotowania do CPRA.

Jak to często bywa w przypadku prywatności, im wcześniejsze przygotowanie, tym łatwiejsza zgodność.

CO NALEŻY WIEDZIEĆ

Kluczowe daty i natychmiastowe zmiany

Daty operacyjne i wykonawcze: CPRA jako całość nie wejdzie w życie do 1 stycznia 2023 r. i będzie miała zastosowanie wyłącznie do informacji zebranych w dniu 1 stycznia 2022 r. lub po tej dacie. Egzekwowanie nie rozpocznie się aż do 1 lipca 2023 roku. Do tego czasu CCPA pozostanie obowiązującym systemem ochrony prywatności.

Zmiany natychmiastowe: Przejście ustawy będzie miało pewne natychmiastowe skutki, w tym:

1. Rozszerzenie zwolnienia pracowników: Zwolnienia dla pracowników i danych business-to-business są przedłużone do 1 stycznia 2023.
2. Utworzenie California Privacy Protection Agency (CPPA): Agencja prywatności watchdog, CPPA, staje się skuteczne natychmiast. Pięcioosobowy zarząd CPPA musi zostać powołany w ciągu 90 dni od uchwalenia ustawy, co następuje 5 dni po tym, jak Sekretarz Stanu poświadczy ostateczne głosowanie.

KEY PROVISIONS

Definitional changes: Istnieje kilka ważnych zmian w definicjach w CPRA, w tym:

Nowa podkategoria „wrażliwych” informacji osobowych: CPRA utrzymuje jedenaście kategorii informacji osobowych (PI) w CCPA, ale dodaje nową podkategorię „wrażliwych” informacji osobowych (wrażliwe PI). Konsumenci będą teraz mieli zwiększone prawa w przypadku wrażliwych danych osobowych, w tym nowe prawo do ograniczenia wykorzystania i ujawnienia takich danych. Wrażliwe dane osobowe obejmują: (1) numer ubezpieczenia społecznego, prawa jazdy, stanowego numeru identyfikacyjnego lub paszportu; (2) informacje dotyczące logowania do konta wraz z hasłem; (3) dokładną lokalizację geograficzną konsumenta; (4) pochodzenie rasowe lub etniczne, wyznanie religijne lub przynależność do związku zawodowego; (5) treść poczty, wiadomości e-mail lub wiadomości tekstowych konsumenta, chyba że przedsiębiorca jest ich adresatem; (6) informacje genetyczne konsumenta; (7) przetwarzanie informacji biometrycznych w celu identyfikacji konsumenta; (8) analizowane dane osobowe dotyczące zdrowia osoby; oraz (9) analizowane dane osobowe dotyczące życia seksualnego lub orientacji seksualnej konsumenta.

Nowa definicja „strony trzeciej”: CPRA dodaje nową definicję strony trzeciej, która jest zdefiniowana w negatywie, aby wykluczyć dostawców usług, wykonawców i wszelkie przedsiębiorstwa, z którymi konsument celowo wchodzi w interakcje i które zbierają informacje od konsumenta w ramach interakcji konsumenta z przedsiębiorstwem. Wyjątki te są szczególnie ważne, biorąc pod uwagę nowo rozszerzone prawo konsumenta do rezygnacji z „dzielenia się” swoimi informacjami z osobami trzecimi (omówione poniżej)…

Nowa definicja (i częściowe ograniczenie) „profilowania”: CPRA dodaje definicję „profilowania”, która oznacza „każdą formę zautomatyzowanego przetwarzania” PI używaną „do analizowania lub przewidywania aspektów preferencji osoby, sytuacji ekonomicznej, wyników pracy, zdrowia, zainteresowań, zachowania, lokalizacji, wiarygodności lub ruchów” Profilowanie może być teraz częściowo ograniczone przez konsumentów dzięki prawu do ograniczenia wykorzystania i ujawniania wrażliwych PI do określonych „celów biznesowych” (omówionych poniżej), które wykluczają profilowanie, chyba że konsument ma uzasadnione oczekiwania, że profilowanie jest konieczne do wykonywania usług lub dostarczania zamówionych towarów. Może to mieć znaczące konsekwencje dla sposobu, w jaki sztuczna inteligencja może być wykorzystywana i wyjaśniana.

Zmiany w zobowiązaniach biznesowych

Ograniczenie zatrzymywania danych i wymóg ujawniania okresów zatrzymywania: CPRA wymaga od przedsiębiorstw informowania konsumentów o długości okresu, przez jaki przedsiębiorstwo zamierza przechowywać każdą kategorię danych osobowych, w tym szczególnie chronionych danych osobowych. Jeżeli z jakiegoś powodu określenie czasu nie jest możliwe, przedsiębiorstwo musi co najmniej poinformować konsumentów o kryteriach stosowanych do określenia okresu przechowywania. W żadnym wypadku przedsiębiorca nie może przechowywać danych osobowych konsumenta lub wrażliwych danych osobowych dłużej niż jest to racjonalnie konieczne dla ujawnionego celu, dla którego zostały one zebrane.

Dodaje prawo do ograniczenia wykorzystania i ujawniania wrażliwych danych osobowych: Jak zauważono powyżej, wraz z dodaniem podkategorii Wrażliwych danych osobowych pojawia się nowe prawo konsumenta do ograniczenia wykorzystywania i ujawniania tej kategorii informacji. To prawo do ograniczenia wykorzystywania i ujawniania jest uruchamiane, gdy wrażliwe dane osobowe są gromadzone lub przetwarzane w celu wnioskowania o cechach konsumenta. Konsument może ograniczyć wykorzystanie lub ujawnienie swoich Wrażliwych danych osobowych do: (1) tego, co jest niezbędne do wykonywania usług lub dostarczania towarów, oraz (2) pewnych ograniczonych „usług biznesowych”. Wrażliwe dane osobowe, które nie są gromadzone lub przetwarzane w celu „wnioskowania” o cechach konsumenta, są traktowane jako dane osobowe i nie podlegają temu ograniczeniu. Wrażliwe dane osobowe muszą być oddzielnie ujawnione w powiadomieniu o prywatności, a konsumenci muszą otrzymać powiadomienie i możliwość skorzystania z prawa do wyrażenia zgody na ograniczenie wykorzystania i ujawniania ich wrażliwych danych osobowych.

Dodaje prawo do korekty niedokładnych danych osobowych: CPRA dodaje nowe prawo konsumenta do poprawienia niedokładnych danych PI. Przedsiębiorstwa będą teraz zobowiązane do dodania informacji o tym prawie do ujawnianych informacji o polityce prywatności oraz do wprowadzenia zasad i procedur odpowiadania na te żądania.

Rozszerza prawa konsumenta do rezygnacji z udostępniania danych osobowych do celów reklamy kontekstowej: Zgodnie z ustawą CCPA konsumenci mają prawo do zwrócenia się do przedsiębiorstw, aby nie sprzedawały ich danych osobowych (znane jako prawo do rezygnacji ze sprzedaży). W ramach CPRA, prawo to jest rozszerzone, aby umożliwić konsumentom zapobiec przedsiębiorstwom „dzielenia się” ich informacji z osobami trzecimi, jak również. „Udostępnianie” w tym kontekście oznacza, że przedsiębiorstwo udostępnia, ujawnia lub wynajmuje PI konsumenta osobie trzeciej do celów wzajemnej reklamy behawioralnej, niezależnie od tego, czy za pieniądze lub inne wartościowe wynagrodzenie, w tym w przypadku braku wymiany pieniędzy. „Reklama międzykontekstowa” oznacza kierowanie reklam do konsumenta w oparciu o PI uzyskane z aktywności konsumenta w przedsiębiorstwach, witrynach internetowych, aplikacjach lub usługach innych niż te, z którymi konsument celowo wchodzi w interakcje. Podobnie jak w przypadku prawa do rezygnacji ze sprzedaży w CCPA, prawo do rezygnacji z udostępniania nie obejmuje udostępniania PI dostawcom usług i wykonawcom.

Rozszerza przepis o niedyskryminacji, aby objąć zakaz odwetu: CPRA zmienia prawo konsumenta do niedyskryminacji w celu włączenia zakazu działań odwetowych przeciwko pracownikowi, osobie ubiegającej się o zatrudnienie lub niezależnemu wykonawcy za korzystanie z jakichkolwiek praw wynikających z ustawy.

Dodaje wymogi dotyczące umów dla wszystkich osób otrzymujących PI: CPRA wprowadza nowe wymogi dotyczące umów dla wszystkich osób otrzymujących PI, w tym sprzedających i udostępniających, jak również dostawców usług i wykonawców. Umowa musi teraz:

1. Określić, że informacje są dostarczane do ograniczonych i określonych celów;
2. Obligować osobę otrzymującą informacje do przestrzegania CPRA i „zapewnienia takiego samego poziomu ochrony prywatności, jaki jest wymagany przez” CPRA;
3. Daje przedsiębiorstwu prawo do zapewnienia, że informacje są przekazywane „w sposób zgodny ze zobowiązaniami przedsiębiorstwa na mocy niniejszego tytułu”;
4. Wymaga od osoby otrzymującej PI powiadomienia przedsiębiorstwa, jeśli nie może ono dłużej spełniać swoich zobowiązań CPRA;
5. Daje przedsiębiorstwu prawo do podjęcia kroków w celu zatrzymania i naprawienia nieautoryzowanego wykorzystania PI.

Zwiększenie praw dzieci

Zwiększenie grzywien administracyjnych za PI dzieci: CPRA zwiększa grzywny administracyjne za wszelkie naruszenia ustawy dotyczące PI dzieci poniżej 16 roku życia do potencjalnej kwoty 7 500 USD za naruszenie. W ramach CCPA, kara ta była zarezerwowana tylko dla umyślnych naruszeń. Maksymalna grzywna w wysokości $2,500 za wszystkie inne niezamierzone czyny z udziałem osób w wieku 16 lat i starszych pozostaje bez zmian.

Wymóg zgody opt-in na udostępnianie danych osobowych dzieci poniżej 16 roku życia: Tak jak CPRA rozszerza prawo konsumentów do rezygnacji ze sprzedaży danych osobowych w celu uwzględnienia prawa do rezygnacji z udostępniania danych osobowych stronom trzecim, wymóg CCPA, aby przedsiębiorstwo uzyskało potwierdzoną zgodę opt-in na sprzedaż danych osobowych dzieci poniżej 16 roku życia teraz również rozciąga się na udostępnianie danych osobowych dzieci. CPRA wzywa również do podjęcia działań w celu „ustanowienia specyfikacji technicznych dla sygnału preferencji opt-out, który pozwala konsumentowi, lub rodzicowi lub opiekunowi konsumenta, aby określić, że konsument ma mniej niż 13 lat lub co najmniej 13 lat i mniej niż 16 lat.”

Nowa agencja ochrony prywatności, nowe przepisy i rozszerzone prywatne prawo do wniesienia powództwa

Utwarza nową Kalifornijską Agencję Ochrony Prywatności (CPPA): Jak wspomniano powyżej, CPRA ustanawia nową agencję, CPPA, „w celu wdrożenia i egzekwowania” CCPA i CPRA (kiedy zacznie działać). CPPA będzie pierwszą agencją ds. prywatności w Stanach Zjednoczonych poświęconą wyłącznie prywatności danych konsumentów i będzie miała szeroki mandat do badania możliwych naruszeń CPRA, egzekwowania CPRA poprzez działania administracyjne i ogłaszania zasad.

Wymaga nowego postępowania regulacyjnego w sprawie ubezpieczeń: CPRA wymaga od CPPA „przeglądu istniejącego kalifornijskiego kodeksu ubezpieczeń” w zakresie prywatności konsumentów, z wyjątkiem przepisów odnoszących się do stawek ubezpieczeniowych i ustalania cen. The CPPA must determine whether the Insurance Code provides greater privacy protections than the CPRA, and if not, the CPPA „shall” adopt a regulation that applies the greater protections of the CPRA to insurance companies. The Insurance Commissioner, however, shall maintain jurisdiction over insurance rates and pricing.

Requires a new rulelemaking on cybersecurity and privacy: CPPA wyda przepisy wymagające od przedsiębiorstw, „których przetwarzanie danych osobowych konsumentów stanowi znaczące ryzyko dla prywatności lub bezpieczeństwa konsumentów”, aby (1) przeprowadzały corocznie audyt bezpieczeństwa cybernetycznego i (2) przedkładały CPPA ocenę ryzyka w odniesieniu do ich przetwarzania PI.

Rozszerza zakres prywatnego prawa do powództwa: CPRA rozszerza zakres prywatnego prawa do wniesienia powództwa poprzez dodanie podstawy powództwa za nieautoryzowany dostęp i eksfiltrację, kradzież lub ujawnienie adresu e-mail w połączeniu z hasłem lub pytaniem bezpieczeństwa i odpowiedzią, które mogłyby umożliwić dostęp do treści. Poprzednio CCPA uznawała jedynie podstawę powództwa odnoszącą się do niezaszyfrowanych lub nieredagowanych danych osobowych. CPRA wyjaśnia również, że wdrożenie i utrzymanie rozsądnych procedur i praktyk bezpieczeństwa po naruszeniu nie stanowi uzdrowienia.

Konkluzja

CPRA jest kolejnym przykładem szybko ewoluującego krajobrazu prywatności. Ale u podstaw zmienności leży wyraźny trend w kierunku zwiększonych obowiązków firm w zakresie prywatności, który prawie na pewno będzie postępował w szybkim tempie, zarówno w Stanach Zjednoczonych, jak i na całym świecie. W tym środowisku, ci, którzy przygotują się wcześnie i ci, którzy mają pewny uchwyt na temat prawa i tego, jakie dane posiadają, skąd pochodzą, dokąd trafiają i jak długo są przechowywane, będą tymi, którzy są najlepiej przygotowani do przestrzegania przepisów.

.