Toimittajan huomautus: WRAL TechWire julkaisi äskettäin 5-osaisen sarjan tietosuojalainsäädäntöön tuodakseen jonkin verran selkeyttä yhteen nopeimmin kasvavista ja monimutkaisimmista teknologialainsäädännön alueista. Tämä on osa 3.Edelliset viestit on upotettu tähän tarinaan.
Steve Britt on kyber-, tietosuoja- ja teknologianeuvoja (CIPP/E, CIPM), Parker Poe ja Sarah Hutchins on Parker Poen kyber-, tiedonsuoja- ja teknologiakumppani (CIPP/US).
+ + +
Aivan kuten Kalifornia oli ensimmäinen osavaltio, joka sääti tietoturvaloukkauksista ilmoittamista koskevan lain vuonna 2002 (Alabama oli 50-vuotiasth osavaltiossa vuonna 2018), se oli ensimmäinen osavaltio, joka sääti kattavan tietosuojalain vuonna 2020, joka tunnetaan nimellä California Consumer Privacy Act (CCPA). Kalifornia käytti GDPR:ää oppaana, mutta laittoi oman leimansa lopputulokseen, ja jakoi monia GDPR:n kanssa yhteisiä elementtejä, mukaan lukien:
- Laaja määritelmä Henkilötiedot, sisältää kaikki tiedot, jotka liittyvät luonnolliseen henkilöön tai joita voitaisiin käyttää tunnistamaan, mukaan lukien IP-osoitteet (Internet Protocol), laitetiedot ja muut online-tunnisteet,
- Useimpien (mutta ei kaikkien) GDPR:n rekisteröidyn oikeuksien hyväksyminen edellyttäen, että selkeitä ja avoimia selityksiä siitä, kuinka näitä oikeuksia voidaan käyttää,
- Vaatimus yksityiskohtaisista tietosuojailmoituksista siitä, mitä tietoja kerätään, keruun tarkoituksia ja jaetaanko tietoja kolmansille osapuolille,
- Vaatimus rajoittavista sopimuksista tietyntyyppisten kolmansien osapuolten kanssa, joiden kanssa tietoja jaetaan,
- Riskiperusteisten tietoturvastandardien käyttöönotto,
- Vaatimus kattavasta työntekijöiden koulutuksesta kaikille henkilötietoja käsitteleville henkilöille,
- Rajoitettu yksityinen kanne tietoturvaloukkauksesta, joka johtuu kohtuullisen tietoturvan laiminlyönnistä ja lakisääteiset vahingot 100–750 dollaria kuluttajaa kohden tällaisissa toimissa, ja lopuksi
- Valtion virasto, tässä tapauksessa Attorney General of California, panee täytäntöön CCPA:n.
Tietosuoja ja sinä: Mitä sinun todella tarvitsee tietää juridisesta näkökulmasta
Sen säätämisen aikaan CCPA:ta kutsuttiin nimellä GDPR-Lite, mutta se oli totta vain käsitteellisessä mielessä, koska CCPA erosi GDPR:stä joillakin merkityksellisillä tavoilla. Esimerkiksi CCPA:
- Ei sovellettu voittoa tavoittelemattomiin järjestöihin tai valtion järjestöihin eikä vapautettuihin työntekijöihin ja yritysten välisiin (B2B) kontakteihin 3 vuoden ajan,
- Sovelletaan vain Kaliforniassa liiketoimintaa harjoittaviin voittoa tavoitteleviin yrityksiin, joiden maailmanlaajuiset vuositulot yhdessä yleisten tuotemerkkien tytäryhtiöiden kanssa olivat vähintään 25,000,000 50,000 50 dollaria ja jotka käsittelivät vähintään XNUMX XNUMX kuluttajan tietoja (mukaan lukien heidän laitteet) tai saivat XNUMX % tuloistaan myynnistä. henkilökohtaisista tiedoista,
- Myönnettiin yksityinen kanne vahingoista, jotka johtuvat riittävän tietoturvan tarjoamatta jättämisestä aiheutuneesta tietoturvaloukkauksesta (14 osavaltiota sallii nyt yksityisen kanteen tietosuojaloukkausilmoituslaissaan),
- Suljetut yhteisöt, joita säätelevät Gramm-Leach-Bliley, Fair Credit Reporting Act, Driver's Privacy Protection Act ja tiedot, joita säätelee sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskeva laki (HIPAA),
- Yrityksen kotisivulla vaaditaan verkkopainike "Älä myy henkilökohtaisia tietojani" henkilötietojen siirtämisestä kolmannelle osapuolelle, joka ei ole "palveluntarjoaja"
- Määritelty tietojen "myynniksi" mikä tahansa siirto "ei-rahallista vastiketta vastaan", joka kaappaa mainosteknologian ja markkinointiteknologian tarjoajia, ja
- Ei vaatinut evästeiden ponnahdusikkunoita tai myöntävää suostumusta markkinointiviestintään.
Vieraiden mielipide: Yleinen tietosuoja-asetus eli GDPR – mistä kaikki alkoi
Kuitenkin niin kauaskantoinen kuin CCPA olikin, ennen kuin muste ehti kuivua, Kalifornia sääti marraskuussa 2020 äänestyksellä California Privacy Rights Act -lain (CPRA), joka tuli voimaan 1. tammikuuta 2023. CPRA muutti CCPA:ta ja laajensi sitä useilla merkityksellisiä tapoja. Esimerkiksi CPRA:
- Nostettiin CCPA:n lainkäyttövaltaa keräämään tietoja 100,000 50,000 kuluttajasta (XNUMX XNUMX:n sijaan) ja poistettiin kuluttajan "laitteiden" kattavuus.
- Poissuljettu yleisesti tuotemerkillä varustetut tytäryhtiöt kattamien yritysten määritelmästä, ellei kalifornialainen yritys todella jakanut kalifornialaisten henkilötietoja tytäryhtiölleen,
- Sisällytti uuden henkilötietojen luokan "arkaluonteiset tiedot" ja laajensi kieltäytymisoikeuden kattamaan tällaiset tiedot,
- Loi kolmannen osapuolen tietojen luovuttamisen luokan, jota kutsutaan "jakamiseksi" ja laajensi "Älä myy" -painikkeen muotoon "Älä myy tai jaa henkilökohtaisia tietojani".
- Laajensi tietooikeuksiaan kattamaan yrityksen työntekijät ja yritysten väliset (B2B) kontaktit ja
- Loi maan ensimmäisen osavaltion tietosuojaviranomaisen (California Privacy Protection Agency), jolla on laajat sääntelyvaltuudet, mukaan lukien 22 uutta aluetta mahdolliselle uudelle sääntelylle.
Kalifornian yksityisyydensuojaviraston (CPPA) laajoja valtuuksia ei pidä unohtaa, varsinkin kun CCPA:sta on jo annettu neljä kierrosta Attorney General -määräyksiä, joissa joissakin tapauksissa asetetaan sääntöjä, jotka eivät ole laissa säädettyjä. Myös Kalifornian yksityinen kanneperuste ja tietyillä muilla lainkäyttöalueilla mahdollisuus oikeudenkäyntiin tietoloukkauslakien nojalla ovat räjähdysmäisesti lisänneet tiedonhallintaan liittyviä riskejä.
CCPA:n monimutkaisuus, sellaisena kuin se on muutettuna CPRA:lla, kilpailee jo GDPR:n kanssa, mutta sekä Kalifornia että Euroopan unioni ovat ilmaisseet tavoitteensa työskennellä yhdessä rajat ylittävien siirtojen rajoitusten ja monien muiden EU-aloitteiden parissa. Sillä välin, kuten seuraavassa artikkelissamme näemme, muut Yhdysvaltain osavaltiot ottavat vihjeensä Kaliforniasta.
Steve Britt, CIPP/E, CIPM, on kyber-, tietosuoja- ja teknologialakimies Parker Poessa. Hän keskittyy harjoituksiinsa kyberturvallisuutta ja tietosuojaa koskevat lait ja määräykset. Britt neuvoo asiakkaitaan kaikissa tietosuojalaeissa. Hänet voidaan tavoittaa klo stevebritt@parkerpoe.com.
Sarah Hutchins, CIPP/US, on kyber-, tietosuoja- ja teknologialakimies Parker Poessa. Hän auttaa asiakkaita navigoimaan yritysoikeudellisissa asioissa, valtion tutkimuksissa sekä tietosuoja- ja kyberturvallisuudessa. Hutchins on tavoitettavissa osoitteessa sarahhutchins@parkerpoe.com.
