Od redakcji: WRAL TechWire uruchomił niedawno 5-częściową serię na temat prawa ochrony danych, aby wyjaśnić jedną z najszybciej rozwijających się i najbardziej złożonych dziedzin prawa technologicznego. To jest część 3. Poprzednie posty są osadzone w tej historii.
Steve Britt jest doradcą ds. Cyber, ochrony danych i technologii (CIPP/E, CIPM), Parker Poe, a Sarah Hutchins jest partnerem ds. Cyber, ochrony danych i technologii (CIPP/USA), Parker Poe.
+ + +
Tak jak Kalifornia była pierwszym stanem, który w 2002 roku uchwalił prawo powiadamiania o naruszeniu danych (Alabama była 50th stanu w 2018 r.), był to pierwszy stan, który w 2020 r. uchwalił kompleksowe prawo dotyczące prywatności danych, znane jako California Consumer Privacy Act (CCPA). Wykorzystując RODO jako wskazówkę, ale stawiając własne piętno na końcowym efekcie, Kalifornia podzieliła wiele elementów wspólnych z RODO, w tym:
- Szeroka definicja Informacje osobiste, aby zawierać wszelkie informacje, które odnoszą się lub mogą być użyte do identyfikacji osoby fizycznej, w tym adresy IP (protokół internetowy), dane urządzenia i inne identyfikatory internetowe,
- Przyjęcie większości (ale nie wszystkich) praw osób, których dane dotyczą, wynikających z RODO, z zastrzeżeniem jasnych i przejrzystych wyjaśnień, w jaki sposób te prawa mogą być wykonywane,
- Wymóg szczegółowych informacji o ochronie prywatności dotyczących tego, jakie dane są gromadzone, celów takiego gromadzenia i czy są udostępniane stronom trzecim,
- Wymóg zawierania umów restrykcyjnych dla niektórych rodzajów podmiotów trzecich, którym dane są udostępniane,
- Narzucanie standardów bezpieczeństwa danych opartych na ryzyku,
- Wymóg kompleksowego przeszkolenia pracowników dla całego personelu obsługującego dane osobowe,
- Ograniczona prywatna przyczyna powództwa o naruszenie danych wynikające z niezapewnienia odpowiedniego bezpieczeństwa danych z ustawowymi odszkodowaniami w wysokości 100-750 USD na konsumenta za incydent w takich działaniach, a na koniec,
- Egzekwowanie CCPA przez agencję rządową, w tym przypadku prokuratora generalnego stanu Kalifornia.
Prywatność danych i Ty: co naprawdę musisz wiedzieć z prawnego punktu widzenia
W momencie uchwalenia CCPA była określana jako RODO-Lite, ale było to prawdą tylko w sensie koncepcyjnym, ponieważ ustawa CCPA różniła się od RODO pod pewnymi znaczącymi względami. Na przykład CCPA:
- Nie dotyczy organizacji non-profit lub rządowych oraz zwolnionych pracowników i kontaktów business-to-business (B2B) przez 3 lata,
- Dotyczy tylko firm nastawionych na zysk, prowadzących działalność w Kalifornii, które wraz z powszechnie markowymi podmiotami stowarzyszonymi mają globalne roczne przychody w wysokości 25,000,000 50,000 50 lub więcej, przetworzyły dane dotyczące co najmniej XNUMX XNUMX konsumentów (w tym ich urządzeń) lub otrzymały XNUMX% swoich przychodów ze sprzedaży danych osobowych,
- Przyznano prywatne powództwo o odszkodowanie z tytułu naruszenia danych, które wynikało z braku odpowiedniego bezpieczeństwa danych (14 stanów zezwala obecnie na prywatne powództwo w swoich przepisach dotyczących powiadamiania o naruszeniu danych),
- Wykluczone podmioty regulowane przez Gramm-Leach-Bliley, ustawę o rzetelnej sprawozdawczości kredytowej, ustawę o ochronie prywatności kierowcy oraz informacje regulowane przez ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA),
- Wymagany przycisk internetowy na stronie głównej firmy oznaczony „Nie sprzedawaj moich danych osobowych” za przekazywanie danych osobowych stronie trzeciej, która nie kwalifikowała się jako „dostawca usług”,
- Zdefiniowane jako „sprzedaż” danych każdy transfer za „opłatę niepieniężną”, który przechwycił dostawców technologii reklamowych i technologii marketingowych, oraz
- Nie wymagały wyskakujących okienek z plikami cookie ani wyraźnej zgody na komunikację marketingową.
Opinia gościa: Ogólne rozporządzenie o ochronie danych, czyli RODO – od czego wszystko się zaczęło
Jednak tak daleko idące, jak CCPA, zanim atrament zdążył wyschnąć, w listopadzie 2020 r. Kalifornia uchwaliła w drodze głosowania ustawę California Privacy Rights Act (CPRA) w drodze głosowania, z mocą obowiązującą 1 stycznia 2023 r. CPRA zmienił CCPA i rozszerzył ją w kilku znaczące sposoby. Na przykład CPRA:
- Podniósł jurysdykcję w sprawie CCPA do gromadzenia danych o 100,000 50,000 konsumentów (a nie XNUMX XNUMX) i zrezygnował z zakresu „urządzeń” konsumentów,
- Wykluczono powszechnie oznakowane podmioty stowarzyszone z definicji firm objętych ubezpieczeniem, chyba że kalifornijska firma faktycznie udostępniła dane osobowe Kalifornijczyków swojemu podmiotowi stowarzyszonemu,
- Włączono nową kategorię danych osobowych zwaną „informacjami wrażliwymi” i rozszerzono prawo do rezygnacji o takie dane,
- Utworzono kategorię ujawniania danych przez osoby trzecie o nazwie „udostępnianie” i rozszerzyliśmy przycisk „Nie sprzedawaj” do „Nie sprzedawaj ani nie udostępniaj moich danych osobowych”,
- Rozszerzył swoje prawa do danych, aby objąć pracowników firmy i kontakty business-to-business (B2B) oraz
- Utworzył pierwszy w kraju dedykowany stanowy regulator prywatności danych (zwany Kalifornijską Agencją Ochrony Prywatności) z szerokimi uprawnieniami regulacyjnymi, w tym 22 nowymi obszarami potencjalnych nowych regulacji.
Nie należy lekceważyć rozległych uprawnień Kalifornijskiej Agencji Ochrony Prywatności (CPPA), zwłaszcza że CCPA była już przedmiotem czterech rund regulacji prokuratora generalnego, w niektórych przypadkach narzucających zasady wykraczające poza to, co zostało przewidziane w statucie. Również prywatna przyczyna powództwa w Kalifornii oraz, w niektórych innych jurysdykcjach, możliwość wszczęcia postępowania sądowego na podstawie przepisów dotyczących naruszenia danych, wykładniczo zwiększyły ryzyko związane z zarządzaniem danymi.
Złożoność CCPA, zmienionej przez CPRA, już konkuruje z RODO, ale zarówno Kalifornia, jak i Unia Europejska wyraziły cel współpracy nad ograniczeniami transferu transgranicznego i szeregiem innych inicjatyw UE. W międzyczasie, jak zobaczymy w naszym następnym artykule, inne stany USA czerpią wskazówki z Kalifornii.
Steve'a Britta, CIPP/E, CIPM, jest prawnikiem ds. cyberprzestrzeni, prywatności danych i technologii w kancelarii Parker Poe. Swoją praktykę koncentruje na przepisy i regulacje dotyczące cyberbezpieczeństwa i prywatności danych. Britt doradza swoim klientom w zakresie pełnego zakresu przepisów o ochronie danych. Może zostać osiągnięty w stevebritt@parkerpoe.com.
Sara Hutchins, CIPP/US, jest prawnikiem ds. cyberprzestrzeni, prywatności danych i technologii w kancelarii prawnej Parker Poe. Pomaga klientom poruszać się w sporach biznesowych, dochodzeniach rządowych oraz prywatności danych i cyberbezpieczeństwie. Hutchins można dojechać w sarahhutchins@parkerpoe.com.
