Kaliforniens nya sekretesslag, CPRA, godkändes: Vad händer nu?

Den 3 november 2020 antog de kaliforniska väljarna Proposition 24, California Privacy Rights Act (CPRA), med cirka 56-44 procent. Denna lag kommer att ändra och ersätta den fortfarande aktuella California Consumer Privacy Act (CCPA) när den träder i kraft den 1 januari 2023.

Lagen bygger på den befintliga ramen för CCPA, utökar konsumenternas integritetsrättigheter så att de bättre överensstämmer med EU:s GDPR, ålägger företagen ytterligare skyldigheter och inrättar landets första myndighet som ägnar sig åt reglering och genomförande av integritetsskydd, California Privacy Protection Agency (CCPA). Nedan har vi redogjort för de viktigaste punkterna som du behöver känna till för att börja förbereda dig för CPRA.

Som ofta är fallet när det gäller integritet är det så att ju tidigare du förbereder dig, desto enklare blir efterlevnaden.

Vad du behöver veta

Nyckeldatum och omedelbara förändringar

Datum för genomförande och verkställighet: CPRA som helhet kommer inte att träda i kraft förrän den 1 januari 2023 och kommer endast att gälla för information som samlas in från och med den 1 januari 2022. Genomförandet kommer inte att börja förrän den 1 juli 2023. Fram till dess kommer CCPA att förbli den styrande sekretessordningen.

Omedelbara ändringar: Lagens antagande kommer att få vissa omedelbara konsekvenser, bland annat:

1. Förlängning av undantaget för anställda: Undantag för uppgifter om anställda och uppgifter mellan företag förlängs till den 1 januari 2023.

Inrättande av California Privacy Protection Agency (CPPA): Övervakningsorganet för integritetsskydd, CPPA, träder i kraft omedelbart. CPPA:s styrelse med fem ledamöter måste utses inom 90 dagar efter lagens ikraftträdande, vilket sker fem dagar efter det att statssekreteraren har bekräftat den slutliga omröstningen.

NÖJLIGA BESTÄMMELSER

Definitionsändringar: Det finns flera viktiga ändringar av definitionerna i CPRA, bland annat:

Ny underkategori för ”känslig” personlig information: I CPRA bibehålls CCPA:s elva kategorier av personuppgifter, men den nya underkategorin ”känsliga” personuppgifter (Sensitive PI) läggs till. Konsumenterna kommer nu att ha utökade rättigheter när det handlar om känsliga personuppgifter, inklusive en ny rätt att begränsa användningen och utlämnandet av sådana uppgifter. Känsliga personuppgifter omfattar 1) socialförsäkringsnummer, körkortsnummer, statligt ID-nummer eller passnummer, 2) inloggningsuppgifter till konton med lösenord, 3) konsumentens exakta geografiska plats, 4) ras eller etniskt ursprung, religiös övertygelse eller medlemskap i en fackförening; (5) innehållet i en konsuments post, e-post eller sms, såvida inte företaget är den avsedda mottagaren, (6) konsumentens genetiska information, (7) behandling av biometrisk information för att identifiera konsumenten, (8) PI som analyseras om en persons hälsa, och (9) PI som analyseras om en konsuments sexliv eller sexuella läggning.

Ny definition av ”tredje part”: CPRA lägger till en ny definition av tredje part, som i den negativa definitionen utesluter tjänsteleverantörer, entreprenörer och alla företag som konsumenten avsiktligt interagerar med och som samlar in information från konsumenten som en del av konsumentens interaktion med företaget. Dessa undantag är särskilt viktiga med tanke på konsumenternas nyligen utökade rätt att välja bort ”delning” av deras information med tredje part (diskuteras nedan)..

Ny definition av (och delvis begränsning av) ”profilering”: CPRA lägger till en definition av ”profilering” som innebär ”varje form av automatiserad behandling” av PI som används ”för att analysera eller förutsäga aspekter av en persons preferenser, ekonomiska situation, arbetsprestationer, hälsa, intressen, beteende, lokalisering, tillförlitlighet eller förflyttningar”. Profilering kan nu delvis begränsas av konsumenterna genom rätten att begränsa användningen och utlämnandet av känsliga PI till specifika ”affärssyften” (diskuteras nedan), vilket utesluter profilering, såvida inte konsumenten rimligen förväntar sig att profilering är nödvändig för att utföra de begärda tjänsterna eller tillhandahålla de begärda varorna. Detta kan få betydande konsekvenser för hur artificiell intelligens kan användas och förklaras.

Förändringar av affärsskyldigheter

Begränsar lagring av uppgifter och kräver offentliggörande av lagringsperioder: CPRA kräver att företag informerar konsumenterna om hur länge företaget avser att lagra varje kategori av PI, inklusive känsliga PI. Om det av någon anledning inte är möjligt att ange längden på lagringstiden måste företaget åtminstone informera konsumenterna om de kriterier som används för att fastställa lagringstiden. I inget fall får företaget behålla konsumentens PI eller känsliga PI längre än vad som är rimligt nödvändigt för det avslöjade syfte för vilket det samlades in.

Ge tillägger en rätt att begränsa användningen och avslöjandet av känsliga PI: Som nämnts ovan kommer med tillägget av underkategorin känslig PI en ny rättighet för konsumenten att begränsa användningen och utlämnandet av denna kategori av information. Denna rätt att begränsa användningen och utlämnandet utlöses när känslig PI samlas in eller behandlas i syfte att dra slutsatser om konsumentens egenskaper. Konsumenten kan begränsa användningen eller utlämnandet av sin känsliga PI till följande: (1) vad som är nödvändigt för att utföra tjänster eller tillhandahålla varor, och (2) vissa begränsade ”affärstjänster”. Känslig PI som inte samlas in eller behandlas i syfte att ”dra slutsatser” om konsumentens egenskaper ska behandlas som PI och kommer inte att omfattas av denna begränsning. Känslig PI måste redovisas separat i integritetsmeddelandet och konsumenterna måste informeras om och ges möjlighet att utöva sin rätt att välja att begränsa användningen och utlämnandet av deras känsliga PI.

Rätt att korrigera felaktig PI läggs till: CPRA lägger till en ny konsumenträtt att korrigera felaktig PI. Företag kommer nu att vara skyldiga att lägga till ett meddelande om denna rättighet i sin integritetspolicy och införa riktlinjer och förfaranden för att besvara dessa förfrågningar.

Utökar konsumenternas opt-out-rättigheter till delning av PI för tvärkontextuell reklam: Enligt CCPA har konsumenterna rätt att be företag att inte sälja deras PI (den så kallade rätten att avstå från försäljning). Enligt CPRA utökas denna rätt till att ge konsumenterna möjlighet att hindra företag från att ”dela” deras information med tredje part. Med ”delning” avses i detta sammanhang att ett företag delar, avslöjar eller hyr ut en konsuments information till en tredje part för kontextöverskridande beteendebaserad reklam, oavsett om det sker mot eller utan pengar eller annan värdefull ersättning, även om inga pengar utväxlas. ”Kontextöverskridande reklam” innebär att rikta reklam till en konsument baserat på PI som erhållits från konsumentens aktivitet i andra företag, webbplatser, appar eller tjänster än den som konsumenten avsiktligt interagerar med. I likhet med rätten att välja bort försäljning i CCPA omfattar rätten att välja bort delning inte delning av PI med tjänsteleverantörer och entreprenörer.

Utvidgar bestämmelsen om icke-diskriminering till att omfatta förbud mot repressalier: CPRA ändrar konsumentens rätt till icke-diskriminering till att omfatta ett förbud mot repressalier mot en anställd, en arbetssökande eller en oberoende entreprenör som utövar sina rättigheter enligt lagen.

Lägger till avtalskrav för alla personer som tar emot PI: CPRA lägger till nya kontraktskrav för alla personer som tar emot PI, inklusive försäljning och delning, samt tjänsteleverantörer och entreprenörer. Kontraktet måste nu:

1. Specificera att information tillhandahålls för begränsade och specificerade syften;
2. Obligera den person som tar emot information att följa CPRA och ”tillhandahålla samma nivå av integritetsskydd som krävs enligt” CPRA;
3. Ge företaget rätt att se till att informationen överförs ”på ett sätt som är förenligt med företagets skyldigheter enligt denna avdelning”;
4. Kräva att den person som tar emot PI ska meddela företaget om det inte längre kan uppfylla sina skyldigheter enligt CPRA;
5. Ge företaget rätt att vidta åtgärder för att stoppa och åtgärda obehörig användning av PI.

Ökade rättigheter för barn

Ökar administrativa böter för barns PI: CPRA höjer de administrativa böterna för alla överträdelser av lagen som involverar PI av barn under 16 år upp till potentiellt 7 500 dollar per överträdelse. Enligt CCPA var detta straff endast reserverat för avsiktliga överträdelser. Det maximala bötesbeloppet på 2 500 dollar för alla andra icke-avsiktliga handlingar som involverar personer som är 16 år eller äldre förblir oförändrat.

Kräver samtycke till delning av PI om barn under 16 år: På samma sätt som CPRA utvidgar konsumenternas rätt att avstå från att sälja PI till att även omfatta rätten att avstå från delning av PI med tredje part, omfattar CCPA:s krav på att ett företag ska erhålla ett bekräftande samtycke till försäljning av PI om barn under 16 år nu även delning av barns PI. CPRA uppmanar också till regelgivning för att ”fastställa tekniska specifikationer för en signal som gör det möjligt för konsumenten, eller konsumentens förälder eller förmyndare, att ange att konsumenten är yngre än 13 år eller minst 13 år och yngre än 16 år.”

Nytt övervakningsorgan för skydd av privatlivet, ny regelgivning och utökad privat rätt att vidta åtgärder

Inrättar det nya organet för skydd av privatlivet i Kalifornien (California Privacy Protection Agency, CPPA): Som nämnts ovan inrättar CPRA en ny myndighet, CPPA, för att ”genomföra och upprätthålla” CCPA och CPRA (när den träder i kraft). CPPA kommer att vara det första integritetsskyddsorganet i Förenta staterna som enbart ägnar sig åt konsumenternas dataskydd och kommer att ha ett brett mandat att utreda eventuella överträdelser av CPRA, genomdriva CPRA genom administrativa åtgärder och utfärda regler.

Kräver ett nytt regelförfarande om försäkringar: CPRA kräver att CPPA ska ”se över den befintliga California Insurance Code” när det gäller konsumenternas integritet, med undantag för bestämmelser som rör försäkringsavgifter och prissättning. CPPA måste avgöra om försäkringslagen ger ett bättre integritetsskydd än CPRA, och om så inte är fallet ”ska” CPPA anta en förordning som tillämpar det bättre skyddet i CPRA på försäkringsbolag. Försäkringskommissionären ska dock behålla sin behörighet när det gäller försäkringsavgifter och prissättning.

Kräver ett nytt regelverk om cybersäkerhet och integritet: CPPA ska utfärda förordningar som kräver att företag ”vars behandling av konsumenters personuppgifter utgör en betydande risk för konsumenternas privatliv eller säkerhet” ska (1) utföra en cybersäkerhetsrevision årligen och (2) lämna in en riskbedömning till CPPA med avseende på deras behandling av PI.

Utvidgar räckvidden för den privata rätten att väcka talan: CPRA utvidgar räckvidden för den privata rätten till talan genom att lägga till en grund för talan för obehörig åtkomst och exfiltrering, stöld eller avslöjande av en e-postadress i kombination med ett lösenord eller en säkerhetsfråga och ett svar som kan ge tillgång till innehåll. Tidigare har CCPA endast erkänt en talan som rör icke-krypterad eller icke-rensad PI. CPRA förtydligar också att genomförandet och upprätthållandet av rimliga säkerhetsförfaranden och rutiner efter intrånget inte utgör en åtgärd.

Slutsats

CPRA är ännu ett exempel på det snabbt föränderliga integritetslandskapet. Men bakom volatiliteten ligger en tydlig trend mot ökade integritetsskyldigheter för företag, som med största sannolikhet kommer att fortsätta i snabb takt, både i USA och över hela världen. I denna miljö kommer de som förbereder sig tidigt och de som har ett fast grepp om lagen och om vilka uppgifter de har, varifrån de kommer, vart de tar vägen och hur länge de behåller dem, att vara de som har de bästa förutsättningarna för att uppfylla kraven.