Californiens slettelov fokuserer objektivet på datamæglere
Indholdsfortegnelse:
Fra 2026 bliver livet meget sværere for datamæglere, der driver forretning i Californien. Fra 1. august samme år skal de overholde en ny lov, der tvinger dem til at slette en forbrugers data baseret på en enkelt anmodning.
SB 362, som blev underskrevet af guvernør Gavin Newsom den 10. oktober, er også kendt som sletteloven. Den nye lov skærper reglerne, som oprindeligt blev pålagt datamæglere af California Consumer Privacy Act (CCPA) i 2019.
CCPA beskyttede allerede statsborgere ved at tvinge datamæglere til at slette en persons personlige oplysninger efter anmodning. Men folk var nødt til at fremsætte disse anmodninger individuelt.
Sletningsloven, som blev indført til lovgiver i april i år, erstattede et indledende lovgivningsforsøg på at løse det problem (SB 1059). Det søger at forenkle datasletning for forbrugere ved at tilbyde et enkelt adgangspunkt, der gør det muligt for borgere at anmode om massesletning af deres oplysninger på tværs af alle datamæglere, der er registreret i henhold til loven.
California Privacy Protection Agency, den uafhængige regulator, der er oprettet af staten for at implementere California Privacy Rights Act af 2020, skal bygge dette massesletningssystem senest den 1. januar 2026. Alle datamæglere skal begynde at overholde slettekravene senest i august 1, 2026.
Hvad er en datamægler?
Sletteloven beskriver en datamægler som "en virksomhed, der bevidst indsamler og sælger personoplysninger om en forbruger, som virksomheden ikke har et direkte forhold til, til tredjemand."
Der er dog nogle væsentlige undtagelser for virksomheder, der er omfattet af andre regler. Disse omfatter forbrugerrapporteringsbureauer som kreditbureauer, finansielle institutioner, forsikringsselskaber og deres agenter og sundhedsudbydere eller andre virksomheder, der er omfattet af HIPAA.
Krav til datamægler
Rene datamæglere omfattet af loven vil betale for tilsynsmyndighedens register via et registreringsgebyr, der går ind i en dedikeret fond. Ud over deres kontaktoplysninger skal de også videregive andre oplysninger under registreringen, herunder om de indsamler oplysninger om mindreårige, geolokaliseringsdata eller reproduktive sundhedsdata.
Loven pålægger datamæglere at slette data om enkeltpersoner inden for 45 dage efter en anmodning. Dette krav er tilbagevendende; de skal fortsætte med at slette data hver 45. dag derefter for at sikre, at de ikke genopbygger et lager af personlige data om en person efter kendsgerningen. De skal også pålægge enhver af deres tjenesteudbydere og kontrahenter at slette den enkeltes data efter en anmodning.
Hvis datamægleren ikke kan bekræfte en anmodning, skal de behandle den, som om forbrugeren har fravalgt at sælge eller dele data i fremtiden. Status for enhver anmodning forbliver på plads, indtil forbrugeren siger andet.
Levering af bevis for overholdelse
Loven indeholder også nogle væsentlige indberetningskrav fra datamæglere. Senest den 1. juli hvert år skal de rapportere antallet af anmodninger om sletning, de har modtaget, sammen med de handlinger, de har foretaget. De skal også rapportere den gennemsnitlige gennemsnitlige svartid for anmodningerne, antallet af anmodninger, de afviste, og hvorfor. Alle disse oplysninger skal offentliggøres på deres hjemmeside.
2026 er ikke det eneste milepælsår for datamæglere under sletteloven. Hvert tredje år fra 1. januar 2028 skal de desuden gennemgå en revision fra en uafhængig tredjepart for at bevise, at de overholder lovens krav.
Straffe for overtrædelse af loven
Datamæglere, der undlader at indtaste sig selv i regeringens nye register, risikerer en bøde på op til $200 pr. dag. Loven truer dem også med yderligere bøder på op til $200 for hver anmodning om sletning, de ikke efterkommer. Det er der dog bekymringer over Californien har gjort lidt for at jagte og bøde mæglere som undlod at logge sig ind i det nuværende register, og at dette kunne opmuntre mæglere til også at undvige dette register i håb om at flyve under radaren. Modargumentet er, at den nye lov fjerner kontrollen med registret fra statens justitsministerium til privatlivsregulatoren. Måske vil sidstnævnte have mere fokus?
Indsatsen er høj, da den amerikanske føderale regerings manglende datamæglerregulering gør det svært at afgøre, hvor mange der er nationalt. Det nuværende californiske register, der er etableret under CCPA-lovgivningen, har over 500 datamæglere, herunder store IT-industriaktører som Oracle, der driver en sund forretning med salg af personlige data. Staten venter på snesevis af andre, der har søgt om registrering, men endnu ikke har betalt.
Mæglere kan indsamle en alarmerende mængde data, herunder ikke kun kontaktoplysninger, men information om alt fra deres indkomst og politiske præferencer til den fast ejendom, de ejer, og deres onlineadfærd. Dette har ført til nogle fantastiske krænkelser af privatlivets fred. I 2021 købte et online nyhedsbureau lokationsdata fra en datamægler, der viste, hvornår og hvor folk brugte homo-opkoblingsappen Grindr. Det her førte til en katolsk præsts udflugt og hans efterfølgende fratræden.
Andre statslige foranstaltninger
I den sidste kongres foreslog medlemmerne tre lovforslag designet til at regere i datamæglernes praksis – den amerikanske lov om databeskyttelse og beskyttelse af data, loven om dataeliminering og begrænsning af omfattende sporing og udveksling (DELETE), som ikke er relateret til den californiske lov. En anden, Health and Location Data Privacy Act, forsøgte at forhindre mægleres salg af helbreds- og lokationsdata. Ingen nåede frem til præsidentens skrivebord.
Med Bakken tilsyneladende hæmmet af politiske konflikter og et føderalt valg mindre end et år væk, virker det usandsynligt, at den føderale regering straks vil optrappe med nogen nationale love til at regere i datamæglere. I mellemtiden tager stater sagen i egen hånd med lokale love om datamæglere. Delaware har House Bill 262, mens Vermont har 9 VSA § 2430. Texas guvernør Greg Abbott underskrev SB 2015 i Maj.
Der er andre på vej. Massachusetts overvejer stadig det Information Privacy and Security Act (Bill S.2687), mens Oregon overvejer House Bill 4017. Mens hver foranstaltning på statsniveau har sine styrker og svagheder, bør de alle sende et klart signal til datamæglere: Forbered dig på større kontrol og regulatoriske værn.
