Kalifornija (spet) skoči v ospredje glede zasebnosti podatkov – tukaj je, kako

Opomba urednika: WRAL TechWire je pred kratkim predstavil 5-delno serijo o zakonodaji o zasebnosti podatkov, da bi vnesel nekaj jasnosti v eno najhitreje rastočih in najbolj zapletenih področij tehnološke zakonodaje. To je 3. del. Prejšnje objave so vdelane v to zgodbo.

Steve Britt je svetovalec za Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe in Sarah Hutchins je partner za Cyber, Data Privacy & Technology (CIPP/US), Parker Poe.

+ + +

Tako kot je bila Kalifornija leta 2002 prva država, ki je sprejela zakon o obveščanju o kršitvah podatkov (Alabama je bila 50.^th leta 2018), je bila prva država, ki je leta 2020 sprejela obsežen zakon o zasebnosti podatkov, znan kot Kalifornijski zakon o zasebnosti potrošnikov (CCPA). Z uporabo GDPR kot vodila, a daje lasten pečat končnemu rezultatu, ima Kalifornija veliko skupnih elementov z GDPR, vključno z:

• Široka definicija Osebni podatki, da vključuje vse informacije, ki se nanašajo ali bi se lahko uporabile za identifikacijo fizične osebe, vključno z naslovi IP (internetni protokol), podatki o napravi in ​​drugimi spletnimi identifikatorji,
• Sprejetje večine (vendar ne vseh) pravic posameznika, na katerega se nanašajo osebni podatki GDPR, ob upoštevanju jasnih in preglednih pojasnil o tem, kako se te pravice lahko uveljavljajo,
• Zahteva po podrobnih obvestilih o zasebnosti o tem, kateri podatki se zbirajo, nameni takega zbiranja in ali se delijo s tretjimi osebami,
• Zahteva po omejevalnih pogodbah za nekatere vrste tretjih oseb, s katerimi se delijo podatki,
• Uvedba standardov varnosti podatkov, ki temeljijo na tveganju,
• Zahteva po celovitem usposabljanju zaposlenih za vse osebje, ki ravna z osebnimi podatki,
• Omejen zasebni razlog za tožbo za kršitev podatkov, ki je posledica nezagotavljanja razumne varnosti podatkov z zakonsko določeno škodo v višini 100–750 USD na potrošnika na incident v takšnih dejanjih, in končno,
• Uveljavljanje CCPA s strani vladne agencije, v tem primeru generalnega državnega tožilca Kalifornije.

Zasebnost podatkov in vi: Kaj morate vedeti s pravnega vidika

V času uveljavitve se je CCPA imenoval GDPR-Lite, vendar je bilo to res samo v konceptualnem smislu, saj se je CCPA v nekaterih pomembnih pogledih razlikoval od GDPR. Na primer CCPA:

• Ni veljal za neprofitne ali vladne organizacije in je bil izvzet za zaposlene in stike med podjetji (B2B) za 3 leta,
• Uporablja se samo za profitna podjetja, ki poslujejo v Kaliforniji in imajo skupaj s podružnicami s splošno blagovno znamko globalne letne prihodke 25,000,000 $ ali več, obdelujejo podatke o najmanj 50,000 potrošnikih (vključno z njihovimi napravami) ali prejemajo 50 % svojih prihodkov od prodaje. osebnih podatkov,
• Odobren zasebni razlog za tožbo za odškodnino zaradi kršitve podatkov, ki je posledica nezagotavljanja ustrezne varnosti podatkov (14 držav zdaj dovoljuje zasebno tožbo v svojih zakonih o obveščanju o kršitvah podatkov),
• Izključeni subjekti, ki jih urejajo Gramm-Leach-Bliley, Zakon o poštenem kreditnem poročanju, Zakon o varstvu voznikove zasebnosti in informacije, ki jih ureja Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja (HIPAA),
• Potreben spletni gumb na domači strani podjetja z oznako »Ne prodajajte mojih osebnih podatkov” za prenos osebnih podatkov tretji osebi, ki ni kvalificirana kot ”ponudnik storitev,”
• Kot »prodaja« podatkov opredeljen vsak prenos za »nedenarno nadomestilo«, ki je zajel ponudnike oglaševalske tehnologije in trženjske tehnologije ter
• Ni zahteval pojavnih oken za piškotke ali pritrdilnega soglasja za tržno komunikacijo.

Mnenje gosta: Splošna uredba o varstvu podatkov ali GDPR – Kje se je vse začelo

Čeprav je bil CCPA daljnosežen, je Kalifornija novembra 2020, preden se je črnilo na njem lahko posušilo, z glasovanjem sprejela Kalifornijski zakon o pravicah do zasebnosti (CPRA), ki je začel veljati 1. januarja 2023. CPRA je spremenil CCPA in ga razširil na več smiselne načine. Na primer, CPRA:

• Zvišal jurisdikcijski sprožilec CCPA na zbiranje podatkov o 100,000 potrošnikih (namesto 50,000) in opustil pokritost potrošniških »naprav«,
• V definiciji zajetih podjetij so izključena povezana podjetja s splošno blagovno znamko, razen če je kalifornijsko podjetje osebne podatke prebivalcev Kalifornije dejansko delilo s svojim povezanim podjetjem,
• Vključili novo kategorijo osebnih podatkov, imenovano »občutljive informacije«, in razširili pravico do zavrnitve, da bi zajemala takšne podatke,
• Ustvaril kategorijo razkritja podatkov tretjim osebam, imenovano »skupna raba«, in razširil gumb »Ne prodajaj« na »Ne prodajaj ali deli mojih osebnih podatkov«.
• Razširil svoje pravice do podatkov na zaposlene v podjetju in stike med podjetji (B2B) ter
• Ustanovljen prvi namenski državni regulator za zasebnost podatkov v državi (imenovan Kalifornijska agencija za varstvo zasebnosti) s širokimi regulativnimi pooblastili, vključno z 22 novimi področji za morebitno novo ureditev.

Ne smemo spregledati obsežnih pooblastil Kalifornijske agencije za varstvo zasebnosti (CPPA), zlasti ker je bil CCPA že predmet štirih krogov predpisov generalnega državnega tožilca, ki so v nekaterih primerih uvedli pravila, ki presegajo tisto, kar je določeno v statutu. Poleg tega sta zasebni razlog za tožbo v Kaliforniji in v nekaterih drugih jurisdikcijah možnost tožbe v skladu z zakoni o kršitvi podatkov eksponentno povečala tveganja v zvezi z upravljanjem podatkov.

Zapletenost CCPA, kot je bil spremenjen s CPRA, je že konkurenčna GDPR, vendar sta tako Kalifornija kot Evropska unija izrazili cilj, da sodelujeta pri omejitvah čezmejnih prenosov in vrsti drugih pobud EU. Medtem, kot bomo videli v našem naslednjem članku, se druge zvezne države ZDA zgledujejo po Kaliforniji.

Steve Britt, CIPP/E, CIPM, je kibernetski odvetnik, odvetnik za zasebnost podatkov in tehnologijo v odvetniški družbi Parker Poe. Svojo prakso osredotoča na kibernetska varnost in zakoni in predpisi o zasebnosti podatkov. Britt svetuje svojim strankam o vseh zakonih o varstvu podatkov. Dosežen je lahko na stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/ZDA, je kibernetski odvetnik, odvetnik za zasebnost podatkov in tehnologijo v odvetniški družbi Parker Poe. Strankam pomaga krmariti pri poslovnih sporih, vladnih preiskavah ter zasebnosti podatkov in kibernetski varnosti. Hutchins je dosegljiv na sarahhutchins@parkerpoe.com.