Kalifornien hoppar fram (igen) på datasekretess

Återutgiven av Platon

anhängare: 0

Redaktörens anteckning: WRAL TechWire lanserade nyligen en serie i fem delar om dataskyddslagstiftning för att bringa lite klarhet i ett av de snabbast växande och mest komplexa områdena inom tekniklagstiftning. Detta är del 5. De tidigare inläggen är inbäddade i den här berättelsen.

Steve Britt är rådgivare för Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe och Sarah Hutchins är partner för Cyber, Data Privacy & Technology (CIPP/US), Parker Poe.

+ + +

Precis som Kalifornien var den första staten som antog en lag om anmälan om dataintrång 2002 (Alabama var den 50^th delstaten 2018), var det den första staten att anta en omfattande datasekretesslag 2020, känd som California Consumer Privacy Act (CCPA). Genom att använda GDPR som en vägledning, men sätta sin egen prägel på slutresultatet, delade Kalifornien många element gemensamt med GDPR, inklusive:

En bred definition av Personlig information, att inkludera all information som relaterar till eller kan användas för att identifiera en fysisk person, inklusive IP-adresser (internetprotokoll), enhetsdata och andra onlineidentifierare,
Antagande av de flesta (men inte alla) av GDPR:s registrerade rättigheter, med förbehåll för tydliga, transparenta förklaringar av hur dessa rättigheter kan utövas,
Kravet på detaljerade integritetsmeddelanden om vilka uppgifter som samlas in, syftena med sådan insamling och om de delas med tredje part,
Kravet på restriktiva avtal för vissa typer av tredje parter som uppgifterna delas med,
Införande av riskbaserade datasäkerhetsstandarder,
Kravet på omfattande personalutbildning för all personal som hanterar personlig information,
En begränsad privat talan för ett dataintrång till följd av underlåtenhet att tillhandahålla rimlig datasäkerhet med lagstadgade skador på $100-$750 per konsument per incident i sådana åtgärder, och slutligen,
Genomförande av CCPA av en statlig myndighet, i det här fallet Kaliforniens justitieminister.

Datasekretess & du: Vad du verkligen behöver veta ur juridisk synvinkel

Vid tiden för dess antagande kallades CCPA GDPR-Lite, men det var egentligen bara sant i en begreppsmässig mening eftersom CCPA skiljde sig från GDPR på vissa meningsfulla sätt. Till exempel, CCPA:

Gällde inte ideella organisationer eller statliga organisationer och undantagna anställda och business-to-business (B2B)-kontakter under 3 år,
Används endast för vinstdrivande företag som gör affärer i Kalifornien som, tillsammans med gemensamma varumärken, hade globala årliga intäkter på 25,000,000 50,000 50 USD eller mer, bearbetade data på minst XNUMX XNUMX konsumenter (inklusive deras enheter) eller fick XNUMX % av sina intäkter från försäljningen av personlig information,
Beviljat en privat talan för skadestånd från ett dataintrång som var ett resultat av underlåtenhet att tillhandahålla adekvat datasäkerhet (14 stater tillåter nu en privat talan i sina lagar om dataintrång),
Uteslutna enheter som regleras av Gramm-Leach-Bliley, Fair Credit Reporting Act, Driver's Privacy Protection Act och information som regleras av Health Insurance Portability and Accountability Act (HIPAA),
Krävde en webbknapp på ett företags hemsida märkt "Sälj inte min personliga information" för att överföra personlig information till en tredje part som inte kvalificerade sig som en "tjänsteleverantör",
Definieras som en "försäljning" av data varje överföring mot "icke-monetär ersättning" som fångade leverantörer av reklamteknik och marknadsföringsteknik, och
Krävde inte popup-fönster för cookies eller bekräftande samtycke för marknadsföringskommunikation.

Gästernas åsikt: General Data Protection Regulation, eller GDPR – där allt började

Men så långtgående som CCPA var, innan bläcket på det kunde torka, antog Kalifornien i november 2020 California Privacy Rights Act (CPRA) genom omröstningsinitiativ, från och med 1 januari 2023. CPRA ändrade CCPA och utökade den i flera meningsfulla sätt. Till exempel, CPRA:

Höjde den jurisdiktionella triggern på CCPA till insamling av data om 100,000 50,000 konsumenter (snarare än XNUMX XNUMX) och släppte täckningen av en konsuments "enheter",
Undantag avfiliates med vanliga varumärken i definitionen av täckta företag såvida inte Kaliforniens verksamhet faktiskt delade kaliforniens personliga information med sin affiliate,
Inkluderade en ny kategori av personlig information som kallas "känslig information" och utökade rätten att välja bort till att omfatta sådana uppgifter,
Skapat en kategori för tredje parts avslöjande av data som kallas "delning" och utökade knappen "Sälj inte" till "Sälj inte eller dela inte min personliga information",
Utökade sina datarättigheter till att täcka ett företags anställda och business-to-business (B2B) kontakter, och
Skapat den första i landet dedikerade statliga datasekretessregulatorn (kallad California Privacy Protection Agency) med breda reglerande befogenheter, inklusive 22 nya områden för potentiell ny reglering.

De vidsträckta befogenheterna för California Privacy Protection Agency (CPPA) bör inte förbises, särskilt eftersom CCPA redan har varit föremål för fyra omgångar av justitieministerns förordningar, i vissa fall införa regler utöver vad som föreskrivs i stadgan. Dessutom har Kaliforniens privata talan och, i vissa andra jurisdiktioner, möjligheten för rättstvister enligt dataintrångslagar exponentiellt ökat riskerna med datahantering.

Komplexiteten i CCPA, som ändrats av CPRA, konkurrerar redan med GDPR, men både Kalifornien och Europeiska unionen har uttryckt målet att arbeta tillsammans om gränsöverskridande överföringsrestriktioner och en rad andra EU-initiativ. Under tiden, som vi kommer att se i vår nästa artikel, tar andra amerikanska delstater sina signaler från Kalifornien.

Steve Britt, CIPP/E, CIPM, är en cyber-, datasekretess- och teknikjurist på advokatfirman Parker Poe. Han fokuserar sin praktik på cybersäkerhet och datasekretess lagar och förordningar. Britt ger sina klienter råd om hela spektrumet av dataskyddslagar. Han kan nås kl stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, är en cyber-, datasekretess- och teknikjurist på advokatfirman Parker Poe. Hon hjälper kunder att navigera i affärstvister, statliga utredningar och datasekretess och cybersäkerhet. Hutchins kan nås kl sarahhutchins@parkerpoe.com.

Tidsstämpel: November 9, 2022November 9, 2022

Tidsstämpel: September 26, 2022

Kalifornien hoppar fram (igen) på datasekretess – så här

Återutgiven av Platon

Mer från WRAL Techwire

Opendoor disciplinerad av federala tillsynsmyndigheter för "bedräglig taktik" i reklam iBuying-tjänster

Digitala nomader: Tänk på ett lands cybersäkerhet innan du gör det hoppet

Uppsägningar för att drabba 200+ arbetare i Johnston, Pitt counties

En djupdykning i Triangle fastigheter: Mäklare och fastighetsadvokat talar ut om due diligence, andra frågor

Lagar en affär: Ex-Hotjobs-ägaren erbjuder 1 miljoner dollar för att bygga ett matställe i östra NC-staden

Homebuilder NVR ger 261 jobb, $33M till NC för två anläggningar

Vill du ha en ny iPhone 14? Stora trådlösa operatörer erbjuder dem gratis – här är varför

BD ska investera minst 25 miljoner dollar, anställa 22 arbetare i Johnston County

Durham biotech-startup Tellus säkrar $35M Series A för att avancera behandling för spädbarn på NICU

100 miljoner låtar: Apple Music närmar sig "ett enormt, enormt antal"

Apple kommer att flytta in i det nya London-campuset i början av '23, säger VD

Om Oss

Vertikal sökning och Ai

plattform

Håll kontakten

Konto