Kalifornian sääntelyviranomainen mukauttaa ja selventää tietosuojasääntöjä
Sisällysluettelo:
Joulukuu oli virstanpylväskuukausi Kalifornian tietosuojaviranomaiselle, koska se siirsi joukon ehdotettuja säädösmuutoksia julkiseen kommenttivaiheeseen. Tarkistukset vahvistavat osan ajattelusta, joka on tehnyt Kaliforniasta yhden alueellisen tietosuojalain pioneereista viime vuosina. Ja ne tarjoavat kaivattua selkeyttä osavaltiossa toimiville yrityksille.
Kalifornian tietosuojasäännösten lyhyt historia
Tarina näistä tarkistuksia alkaa marraskuussa 2020 äänestäjien hyväksynnällä Proposition 24:lle, äänestysaloitteelle, joka tuotti California Privacy Rights Actin (CPRA). Tämä laki muutti Kalifornian vuoden 2018 kuluttajatietosuojalakia (CCPA).
CCPA oli ottanut käyttöön kuluttajien yksityisyyden suojan – mukaan lukien oikeuden tietää, mitä henkilötietoja yritys kerää heistä, ja pyytää niiden poistamista sekä oikeuden kieltäytyä tietojensa myynnistä. CPRA lisäsi suojaa, mukaan lukien oikeus rajoittaa henkilötietojen käyttöä ja korjata epätarkkoja tietueita. Se myös laajensi CCPA:n kuluttajatietoja koskevaa "älä myy" -mandaattia kattamaan tietojen jakamisen. Lopuksi Prop 24 loi California Privacy Protection Agencyn (CPPA).
Tämä oli erillinen viranomainen, joka valvoi CCPA:n hallintoa ja täytäntöönpanoa; työ, jota aiemmin hoiti yksinomaan oikeusministeri.
Heinäkuussa 2022 CCPA aloitti sääntöjen laatimisen näiden CPRA-asetusten hyväksymiseksi, mikä yhdenmukaisti CCPA:ta ja CPRA:ta. Se esitteli tarkistetut määräykset marraskuussa. Hallinto-oikeus hyväksyi ne 29. maaliskuuta, mutta kauppakamari haastoi ne välittömästi oikeuteen. Se väitti, että lopullisista määräyksistä piti olla sovittu 1. heinäkuuta 2022 mennessä ja täytäntöönpano tapahtuisi aikaisintaan vuoden kuluttua tästä kohdasta, ja pyysi tuomioistuinta lykkäämään määräyksiä vuodeksi niiden hyväksymisen jälkeen (29. maaliskuuta 2024).
CCPA ei ole istunut käsillään odottaessaan kieltomääräyksen vanhenemista. Se esitti 1. joulukuuta joitakin uusia ehdotuksia CCPA-sääntöihin. Juuri näistä ehdotuksista se keskusteli a hallituksen kokous 8 (esityslistan kohta 3) ja siirtyi sitten seuraavaan vaiheeseensa, kun se astuu viralliseen sääntöjen laatimisprosessiin.
Viimeisimpien ehdotettujen versioiden purkaminen
Viimeisimmät ehdotetut muutokset ovat enimmäkseen kiistattomia, selittää Cobun Zweifel-Keegan, International Association of Privacy Professionals (IAPP) DC:n toimitusjohtaja.
"Suurin osa näistä ei ole viraston luovia lähtöjä", hän kertoo ISMS.onlinelle. "Luulen, että niiden on lähinnä tarkoitus selventää ja päivittää standardeja, jotta asiat ovat sopusoinnussa lainsäätäjän tekemien muutosten kanssa."
Selventävien sääntöjen odotettiin auttavan sekä CCPA:n että CPRA:n täytäntöönpanossa, hän jatkaa.
"Uusi laki antaa CPPA:lle erittäin selkeästi valtuudet selventää tiettyjä standardeja, joita ei ole erikseen mainittu itse laissa", Zweifel-Keegan lisää.
Odia Kagan, lakiasiaintoimisto Fox Rothschild LLP:n kumppani, kutsuu ehdotettuja muutoksia "uusiksi, uusiksi säännöiksi". He selventävät kohtia, joista ei ollut yhteistä yksimielisyyttä, ja keskittyvät vivahteisiin esimerkiksi kuluttajan suostumuksella.
"On uusia esimerkkejä siitä, mikä ei ole suostumus", hän kertoo ISMS.onlinelle.
Esimerkiksi versioissa todetaan nimenomaisesti, että ponnahdusikkunan sulkeminen, jossa pyydetään lupaa kerätä ja käyttää tietoja, sen sijaan, että napsauttaisi "kyllä"-painiketta, ei tarkoita suostumusta. Se varoittaa myös harhaanjohtavista tekniikoista, kuten ajastinten asettamisesta suostumusvalintojen viereen paniikkia aiheuttavia käyttäjiä varten.
Puhu suoraan, kiitos
Huomionarvoista on myös keskittyminen selkeään kieleen. Ehdotetut muutokset edellyttävät selkeää kieltä, joka varoittaa yrityksiä kuvailemaan lähteiden luokat, joista tietoja kerätään, sekä kolmansia osapuolia, joiden kanssa tietoja saatetaan jakaa. Kuten CCPA täsmentää ehdotettujen muutosten selityksessä, kuluttajat tarvitsevat "merkittävän ymmärryksen" siitä, mistä yritykset saavat henkilötietonsa.
Tällaiset säädöt auttavat tekemään CCPA:sta kuluttajaystävällisemmän, Kagan selittää.
"Jos sanot "keräämme suojattuja luokituksiasi", kukaan ei ymmärrä, mitä se on", hän sanoo.
Poisto-oikeuden puolustaminen
Ehkä yksi mielekkäimmistä ehdotetuista tarkistuksista koskee oikeutta poistaa tietoja. Se velvoittaa sekä yritykset että niiden palveluntarjoajat ja urakoitsijat varmistamaan, että tiedot pysyvät poistettuina.
"Se on mielenkiintoista, koska tiedonvälittäjiltä saamasi tavarat ovat nyt suurennuslasin alla - varsinkin koska FTC teki juuri kaksi päätöstä, jotka liittyvät tiedonvälittäjiin ja heiltä saamiin tietoihin", Kagan sanoo.
Nämä päätökset, jotka molemmat tehtiin tammikuussa CPPA:n ehdottamien sääntömuutosten jälkeen, koskivat yrityksen myymiä tarkkoja sijaintitietoja. X-Mode Social ja InMarket Media.
Teknisen innovaation tahdissa
CPPA:n ehdotuksissa on paljon muita selventäviä tarkistuksia, joista jotkut vaikuttavat oudon täsmällisiltä. Esimerkiksi varoitetaan, että lisätyssä tai virtuaalitodellisuudessa (AR/VR) dataa keräävien yritysten on varoitettava kuluttajaa ennen kuin he tulevat AR/VR-ympäristöön. Tämä otettiin uudelleen käyttöön sen jälkeen, kun se oli aiemmin jätetty pois täytäntöönpanon yksinkertaistamiseksi. Tämä ei kuitenkaan ole yllättävää, sillä viraston tehtävänä on osittain luoda säädöksiä, jotka pitävät tietosuojalait merkityksellisinä nopeasti kehittyvässä teknologiaympäristössä, joka sisältää tällaisia innovaatioita.
Tämä tarve pysyä teknologian kehityksen tahdissa koskee erityisesti toista käynnissä olevaa automatisoituun päätöksentekoon keskittyvää sääntöprosessia, jossa CPPA:sta tulee erillinen määräyskokoelma.
"Tällaisissa tilanteissa, kuten automatisoidussa päätöksentekotekniikassa, tarvitaan enemmän selvennystä", Zweifel-Keegan sanoo. "Se on todellakin vain yksi pieni sääntö laissa, mutta siitä voi tulla koko monisivuinen sääntösarja, joka auttaa selittämään, mitä vaatimuksia on."
CPPA työskentelee myös kahden muun riskinarvioinnin ja kyberturvallisuuden sääntöjoukon parissa. Kun se työntää joulukuun "uudet" säännökset sylkimisvaiheesta viralliselle sääntömääräysalueelle. Sillä on vielä paljon tehtävää – ja Kaliforniassa liiketoimintaa tekevien on seurattava tarkasti, mitä se tekee.
Mitä yritykset voivat tehdä, kun he seuraavat näitä käynnissä olevia muutoksia? Epävarmuuden aikoina etsi vakiintuneita parhaita käytäntöjä, jotka vievät sinut lähelle – tai kokonaan – sitä, missä sinun tulee olla, kun sääntöjen laatimisprosessi on ohi.
Standardit, kuten ISO 27001 turvallisuuden hallintaa varten, ja sen laajennus ISO 27701 (joka luo pohjan tehokkaille tietosuojatiedon hallintajärjestelmille) ovat vankka perusta noudattamiselle. He valmistavat yrityksiä täyttämään nousevat standardit kuluttajatietojen hallinnassa ja suojaamisessa sellaisina kuin ne ilmestyvät.
