Californien hopper foran (igen) med hensyn til databeskyttelse

Genudgivet af Platon

Abonnenter: 0

Redaktørens note: WRAL TechWire lancerede for nylig en 5-delt serie om databeskyttelseslovgivning for at bringe lidt klarhed over et af de hurtigst voksende og mest komplekse områder inden for teknologilovgivning. Dette er del 3. De tidligere indlæg er indlejret i denne historie.

Steve Britt er Counsel for Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe og Sarah Hutchins er Partner for Cyber, Data Privacy & Technology (CIPP/US), Parker Poe.

+ + +

Ligesom Californien var den første stat til at vedtage en lov om anmeldelse af databrud i 2002 (Alabama var den 50.^th stat i 2018), var det den første stat, der vedtog en omfattende lov om databeskyttelse i 2020, kendt som California Consumer Privacy Act (CCPA). Ved at bruge GDPR som en guide, men sætte sit eget præg på slutresultatet, delte Californien mange elementer til fælles med GDPR, herunder:

En bred definition af personlige oplysninger, for at inkludere enhver information, der vedrører eller kunne bruges til at identificere en fysisk person, herunder IP-adresser (internetprotokol), enhedsdata og andre online-identifikatorer,
Vedtagelse af de fleste (men ikke alle) GDPR's registrerede rettigheder, med forbehold for klare, gennemsigtige forklaringer af, hvordan disse rettigheder kan udøves,
Kravet om detaljerede fortrolighedsmeddelelser om, hvilke data der indsamles, formålene med en sådan indsamling og om de deles med tredjeparter,
Kravet om restriktive kontrakter for visse typer tredjeparter, som dataene deles med,
Indførelse af risikobaserede datasikkerhedsstandarder,
Kravet om omfattende medarbejderuddannelse for alt personale, der håndterer personlige oplysninger,
En begrænset privat sag for et databrud som følge af manglende levering af rimelig datasikkerhed med lovbestemte skader på $100-$750 pr. forbruger pr. hændelse i sådanne handlinger, og endelig,
Håndhævelse af CCPA af et statsligt organ, i dette tilfælde Attorney General of California.

Databeskyttelse og dig: Hvad du virkelig har brug for at vide fra et juridisk synspunkt

På tidspunktet for dets vedtagelse blev CCPA omtalt som GDPR-Lite, men det var egentlig kun rigtigt i begrebsmæssig forstand, da CCPA adskilte sig fra GDPR på nogle meningsfulde måder. For eksempel, CCPA:

Gælde ikke for nonprofitorganisationer eller statslige organisationer og fritagne medarbejdere og business-to-business (B2B) kontakter i 3 år,
Kun anvendt på for-profit-virksomheder, der driver forretning i Californien, som sammen med almindeligt mærkede associerede selskaber havde globale årlige indtægter på $25,000,000 eller mere, behandlede data på mindst 50,000 forbrugere (inklusive deres enheder) eller modtog 50 % af deres omsætning fra salget af personlige oplysninger,
Bevilget en privat sag om erstatning fra et databrud, der var et resultat af manglende levering af tilstrækkelig datasikkerhed (14 stater tillader nu en privat sag i deres love om meddelelse om databrud),
Ekskluderede enheder reguleret af Gramm-Leach-Bliley, Fair Credit Reporting Act, Driver's Privacy Protection Act og oplysninger reguleret af Health Insurance Portability and Accountability Act (HIPAA),
Kræver en webknap på en virksomheds hjemmeside mærket "Sælg ikke mine personlige oplysninger" for overførsel af personlige oplysninger til en tredjepart, der ikke kvalificerede som en "tjenesteudbyder",
Defineret som et "salg" af data enhver overførsel mod "ikke-monetært vederlag", som fangede udbydere af reklameteknologi og marketingteknologi, og
Krævede ikke cookie-pop-ups eller bekræftende samtykke til markedsføringskommunikation.

Gæsteudtalelse: General Data Protection Regulation eller GDPR – hvor det hele begyndte

Men lige så vidtrækkende som CCPA var, før blækket på det kunne tørre, i november 2020, vedtog Californien California Privacy Rights Act (CPRA) ved afstemningsinitiativ med virkning fra 1. januar 2023. CPRA ændrede CCPA og udvidede den i flere meningsfulde måder. For eksempel, CPRA:

Hævede den jurisdiktionelle trigger på CCPA til indsamling af data om 100,000 forbrugere (i stedet for 50,000) og droppede dækningen af en forbrugers "enheder",
Ekskluderede almindeligt mærkede tilknyttede selskaber i definitionen af omfattede virksomheder, medmindre den californiske virksomhed faktisk delte californiske borgeres personlige oplysninger med sin tilknyttede virksomhed,
Inkluderede en ny kategori af personlige oplysninger kaldet "følsomme oplysninger" og udvidede retten til at fravælge til at dække sådanne data,
Oprettede en kategori af tredjeparts videregivelse af data kaldet "deling" og udvidede knappen "Sælg ikke" til "Må ikke sælge eller dele mine personlige oplysninger,"
Udvidet sine datarettigheder til at dække en virksomheds ansatte og business-to-business (B2B) kontakter, og
Skabte den første-i-nationen dedikerede statslige databeskyttelsesmyndighed (kaldet California Privacy Protection Agency) med brede reguleringsbeføjelser, herunder 22 nye områder for potentiel ny regulering.

De omfattende beføjelser, som California Privacy Protection Agency (CPPA) har, bør ikke overses, især da CCPA allerede har været genstand for fire runder af Attorney General-regler, der i nogle tilfælde pålægger regler ud over, hvad der var fastsat i statutten. Også Californiens private sag og, i visse andre jurisdiktioner, muligheden for retssager i henhold til love om databrud har eksponentielt øget risiciene i forbindelse med datahåndtering.

Kompleksiteten af CCPA, som ændret af CPRA, konkurrerer allerede med GDPR, men både Californien og EU har udtrykt målet om at arbejde sammen om grænseoverskridende overførselsrestriktioner og en række andre EU-initiativer. I mellemtiden, som vi vil se i vores næste artikel, tager andre amerikanske stater deres signaler fra Californien.

Steve Britt, CIPP/E, CIPM, er en cyber-, databeskyttelses- og teknologiadvokat hos advokatfirmaet Parker Poe. Han fokuserer sin praksis på love og regler om cybersikkerhed og databeskyttelse. Britt rådgiver sine klienter om hele spektret af databeskyttelseslove. Han kan nås kl stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, er en cyber-, databeskyttelses- og teknologiadvokat hos advokatfirmaet Parker Poe. Hun hjælper kunder med at navigere i forretningstvister, regeringsundersøgelser og databeskyttelse og cybersikkerhed. Hutchins kan nås kl sarahhutchins@parkerpoe.com.

Tidsstempel: November 9, 2022November 9, 2022

Wilmington cybersikkerhedsfirmaet SaaS Alerts lander $22M investering i PlatoBlockchain Data Intelligence. Lodret søgning. Ai.

Wilmington cybersikkerhedsvirksomheden SaaS Alerts lander en investering på 22 millioner dollars

Kildeklynge:

WRAL Techwire

Kildeknude: 1664181

Tidsstempel: September 14, 2022

Californien springer i front (igen) med hensyn til databeskyttelse – her er hvordan

Genudgivet af Platon

Mere fra WRAL Techwire

'Shadowbanning' er næste mål for Elon Musk på Twitter

GSK-nyheder: Lægemiddelgiganten leder efter opkøb, der går ind i 2023

IBM overgår forventningerne til kvartalsvis omsætning, men aktien kan falde på grund af 'skarpt styrkelse af dollaren'

Amazon gør klar til andet 'Prime Day'-udsalg med nye produktudgivelser

Fed hæver renten med 75 basispoint - for anden måned i træk

Triangles blomstrende indisk-amerikanske samfund lobbyer RDU for direkte fly til Indien – her er hvorfor

Cary Air Capture-startup Sustaera udtager gasbehandlingschef som ny administrerende direktør

N-Able fyringer, pludselige for medarbejdere, var 'bydende nødvendigt', siger CEO

Venter du på et bedre tidspunkt at købe en bil? Bliv ved med at vente

Vil du have frokost? Flytrex leverer nu med drone i Durham, Holly Springs

Wilmington cybersikkerhedsvirksomheden SaaS Alerts lander en investering på 22 millioner dollars

Om os

Vertikal søgning & Ai

perron

Stay Connected

Konto