Californisk regulator justerer og præciserer reglerne for beskyttelse af personlige oplysninger
Indholdsfortegnelse:
December var en milepælsmåned for Californiens databeskyttelsesvagthund, da den flyttede et sæt foreslåede reguleringsrevisioner ind i den offentlige kommentarfase. Revisionerne cementerer noget af den tankegang, der har gjort Californien til en af pionererne inden for regional privatlivslovgivning i de seneste år. Og de giver noget tiltrængt klarhed for virksomheder, der opererer i staten.
En kort historie om californiske regler om privatliv
Historien om disse revisioner begynder i november 2020 med vælgernes godkendelse af Proposition 24, et afstemningsinitiativ, der producerede California Privacy Rights Act (CPRA). Denne lov ændrede 2018 California Consumer Privacy Act (CCPA).
CCPA havde indført beskyttelse af forbrugernes privatliv – herunder retten til at vide, hvilke personlige oplysninger en virksomhed indsamler om dem og til at anmode om sletning, og retten til at fravælge salget af deres oplysninger. CPRA tilføjede flere beskyttelser, herunder retten til at begrænse brugen af personlige oplysninger og til at rette unøjagtige optegnelser. Det udvidede også CCPA's "sælg ikke"-mandat om forbrugerdata til at dække datadeling. Endelig oprettede Prop 24 California Privacy Protection Agency (CPPA).
Dette var en separat myndighed med tilsyn med at administrere og håndhæve CCPA; et job, der tidligere udelukkende varetages af rigsadvokatens kontor.
I juli 2022 begyndte CCPA at lave regler for at vedtage disse CPRA-regler, der harmoniserede CCPA og CPRA. Den indførte de reviderede regler den november. De blev godkendt den 29. marts af Kontoret for forvaltningsret, men blev straks anfægtet af Handelskammeret i retten. Den hævdede, at de endelige regler skulle være vedtaget inden den 1. juli 2022, med håndhævelse ikke tidligere end et år efter dette tidspunkt, og bad retten om at udsætte reglerne indtil et år efter deres godkendelse (29. marts 2024).
CCPA har ikke siddet på hænderne, mens den venter på, at påbuddet udløber. Den 1. december introducerede den nogle nye foreslåede revisioner af CCPA-reglerne. Det er dette sæt forslag, den drøftede på et bestyrelsesmøde den 8. december (dagsordenspunkt tre) og derefter bevægede sig videre til næste fase, når den går ind i den officielle regeludformningsproces.
Udpakning af de seneste foreslåede revisioner
De seneste foreslåede revisioner er for det meste ukontroversielle, forklarer Cobun Zweifel-Keegan, DC administrerende direktør for International Association of Privacy Professionals (IAPP).
"De fleste af disse er ikke kreative afgange fra bureauet," siger han til ISMS.online. "Jeg tror, at de mest er beregnet til at præcisere og opdatere standarder for at gøre tingene i overensstemmelse med de ændringer, lovgiveren har foretaget."
Det forventedes, at præciserende regler ville hjælpe med håndhævelsen af både CCPA og CPRA, fortsætter han.
"Den nye lov bemyndiger meget eksplicit CPPA til at præcisere visse standarder, der ikke er specifikt angivet i selve loven," tilføjer Zweifel-Keegan.
Odia Kagan, partner hos advokatfirmaet Fox Rothschild LLP, kalder de foreslåede revisioner for de "nye, nye regler." De afklarer punkter, som der ikke var fælles konsensus om, og fokuserer på nuancer på områder som forbrugernes samtykke.
"Der er nye eksempler på, hvad der ikke udgør samtykke," siger hun til ISMS.online.
For eksempel angiver revisionerne eksplicit, at lukning af et pop op-vindue, der beder om tilladelse til at indsamle og bruge data i stedet for eksplicit at klikke på en "ja"-knap, ikke angiver samtykke. Den advarer også om vildledende teknikker som at sætte nedtællingstimere ved siden af samtykkevalg til panikbrugere.
Klart talt, tak
Også bemærkelsesværdig er fokus på tydeligt sprog. De foreslåede revisioner kræver almindeligt sprog, der advarer virksomheder om at beskrive kategorierne af kilder, hvorfra data indsamles, sammen med tredjeparter, som de kan blive delt med. Som CCPA beskriver i sin forklaring af de foreslåede revisioner, har forbrugerne brug for en "meningsfuld forståelse" af, hvor virksomheder får deres personlige data.
Tweaks som denne vil hjælpe med at gøre CCPA mere forbrugervenlig, forklarer Kagan.
"Hvis du siger, 'vi indsamler dine beskyttede klassifikationer', er der ingen, der forstår, hvad det er," siger hun.
Forsvar af retten til at slette
Måske en af de mest meningsfulde foreslåede revisioner påvirker retten til at slette oplysninger. Det pålægger både virksomheder og deres tjenesteudbydere og entreprenører at sikre, at oplysninger forbliver slettet.
"Det er interessant, fordi de ting, du får fra datamæglere, er under forstørrelsesglasset nu - især fordi FTC lige har udstedt to beslutninger vedrørende datamæglere og den information, du får fra dem," siger Kagan.
Disse beslutninger, begge udstedt i januar efter CPPA's foreslåede regelrevisioner, vedrørte præcise lokationsdata solgt af X-Mode Social og InMarket Media.
Holde trit med teknologisk innovation
Der er masser af andre opklarende revisioner i CPPA's forslag, hvoraf nogle virker underligt specifikke. For eksempel advarer man om, at virksomheder, der indsamler data i augmented eller virtual reality (AR/VR), skal advare forbrugeren, før de går ind i AR/VR-miljøet. Dette blev genindført, efter at være udeladt tidligere for at forenkle implementeringen. Dette er dog ikke overraskende, da agenturets rolle til dels er at skabe regler, der holder privatlivslovgivningen relevant i et hurtigt udviklende teknologilandskab, der inkorporerer sådanne innovationer.
Dette behov for at holde trit med teknologiudviklingen gælder især for en anden igangværende regelproces med fokus på automatiseret beslutningstagning, som vil se et særskilt sæt regler fra CPPA.
"Der er behov for mere afklaring i de situationer som automatiseret beslutningstagningsteknologi," siger Zweifel-Keegan. "Det er i virkeligheden kun en lille regel i statutten, men det kan blive hele dette flersidede sæt af regler, der hjælper med at forklare, hvilke krav der er på plads."
CPPA arbejder også på yderligere to sæt regler inden for risikovurdering og cybersikkerhed. Da det skubber decembers "nye nye" regler fra spitball-stadiet til officielt regelskabende territorium. Det har stadig masser af arbejde at gøre - og dem, der driver forretning i Californien, skal holde et vågent øje med, hvad det gør.
Hvad kan virksomheder gøre, når de sporer disse løbende ændringer? I tider med usikkerhed skal du kigge efter veletablerede bedste praksisser, som vil bringe dig tæt på – eller hele vejen – på, hvor du skal være, når regeludformningen er slut.
Standarder som f.eks. ISO 27001 for sikkerhedsstyring og dens udvidelse ISO 27701 (som danner grundlaget for effektive systemer til styring af privatlivsinformation) er et solidt grundlag for overholdelse. De vil forberede virksomheder til at opfylde nye standarder for styring og beskyttelse af forbrugerdata, som de fremstår.
