Kalifornian Delete Act keskittyy tiedonvälittäjiin

Vuodesta 2026 lähtien Kaliforniassa liiketoimintaa harjoittavien tiedonvälittäjien elämästä tulee paljon vaikeampaa. Heidän on kyseisen vuoden elokuun 1. päivästä alkaen noudatettava uutta lakia, joka pakottaa heidät poistamaan kuluttajan tiedot yhden pyynnön perusteella.

SB 362kuvernööri Gavin Newsom allekirjoitti lain 10. lokakuuta, ja se tunnetaan myös nimellä Delete Act. Uusi laki tiukentaa sääntöjä, jotka Kalifornian kuluttajansuojalain (CCPA) alun perin asetti tiedonvälittäjille vuonna 2019.

CCPA suojeli jo osavaltion asukkaita pakottamalla tiedonvälittäjät poistamaan pyynnöstä henkilön henkilötiedot. Ihmisten oli kuitenkin esitettävä nämä pyynnöt yksilöllisesti.

Tämän vuoden huhtikuussa lainsäätäjälle esitelty poistolaki korvasi alkuperäisen lainsäädännöllisen yrityksen ratkaista tämä ongelma (SB 1059). Sillä pyritään yksinkertaistamaan tietojen poistamista kuluttajien kannalta tarjoamalla yhden yhteyspisteen, jonka avulla kansalaiset voivat pyytää tietojensa massapoistoa kaikilta lain nojalla rekisteröidyiltä tiedonvälittäjiltä.

California Privacy Protection Agency, osavaltion perustama riippumaton sääntelijä panemaan täytäntöön California Privacy Rights Act of 2020 -lain, on rakennettava tämä joukkopoistojärjestelmä 1. tammikuuta 2026 mennessä. Kaikkien tiedonvälittäjien on alettava noudattaa poistovaatimuksia viimeistään elokuussa 1, 2026.

Mikä on tiedonvälittäjä?

Poistolaki kuvaa tiedonvälittäjää "yritykseksi, joka tietoisesti kerää ja myy kolmansille osapuolille sellaisen kuluttajan henkilötietoja, johon yrityksellä ei ole suoraa suhdetta".

Muiden säädösten piiriin kuuluville yrityksille on kuitenkin olemassa joitakin merkittäviä poikkeuksia. Näitä ovat kuluttajaraportointitoimistot, kuten luottotoimistot, rahoituslaitokset, vakuutusyhtiöt ja niiden edustajat sekä terveydenhuollon tarjoajat tai muut toimijat HIPAA.

Data Broker -vaatimukset

Lain kattamat puhtaat tiedonvälittäjät maksavat sääntelijän rekisteristä rekisteröintimaksun, joka menee erityiseen rahastoon. Yhteystietojensa lisäksi heidän tulee ilmoittaa rekisteröinnin yhteydessä myös muita tietoja, mukaan lukien keräävätkö he tietoja alaikäisistä, maantieteellisiä tietoja tai lisääntymisterveystietoja.

Laki edellyttää tiedonvälittäjien poistavan henkilötietoja 45 päivän kuluessa pyynnöstä. Tämä vaatimus on toistuva; sen jälkeen heidän on jatkettava tietojen poistamista 45 päivän välein varmistaakseen, etteivät he rakenna henkilötietojen arkiston uudelleen jälkikäteen. Heidän on myös kehotettava palveluntarjoajiaan ja urakoitsijoitaan poistamaan henkilön tiedot pyynnöstä.

Jos tiedonvälittäjä ei pysty vahvistamaan pyyntöä, hänen on käsiteltävä sitä ikään kuin kuluttaja olisi kieltäytynyt myymästä tai jakamasta tietoja tulevaisuudessa. Pyynnön tila pysyy voimassa, kunnes kuluttaja toisin ilmoittaa.

Todiste vaatimustenmukaisuudesta

Laki sisältää myös merkittäviä tiedonvälittäjien raportointivaatimuksia. Heidän on ilmoitettava kunkin vuoden heinäkuun 1. päivään mennessä vastaanottamiensa poistopyyntöjen määrä sekä tekemänsä toimenpiteet. Heidän on myös raportoitava pyyntöjen keskimääräinen vastausaika, hylättyjen pyyntöjen määrä ja syy. Kaikki nämä tiedot on julkaistava heidän verkkosivuillaan.

Vuosi 2026 ei ole ainoa virstanpylväsvuosi tiedonvälittäjille Delete Actin mukaisesti. Joka kolmas vuosi 1 alkaen heidän on myös läpäistävä riippumattoman kolmannen osapuolen suorittama tarkastus osoittaakseen noudattavansa lain vaatimuksia.

Rangaistukset lain rikkomisesta

Tiedonvälittäjät, jotka eivät kirjaudu hallituksen uuteen rekisteriin, saavat sakon jopa 200 dollaria päivässä. Laki uhkaa heitä myös 200 dollarin lisäsakkoilla jokaisesta poistopyynnöstä, jota he eivät noudata. Siitä huolimatta on olemassa huolia Kalifornia on tehnyt vain vähän jahtaakseen ja hienosti välittäjiä jotka eivät onnistuneet kirjautumaan nykyiseen rekisteriin ja että tämä saattaisi rohkaista välittäjiä väistämään myös tätä rekisteriä toivoen lentävänsä tutkan alle. Vastaargumentti on, että uusi laki poistaa rekisterin hallinnan osavaltion oikeusministeriöltä yksityisyyden sääntelijälle. Ehkä jälkimmäinen keskittyy enemmän?

Panokset ovat korkeat, sillä Yhdysvaltain liittohallituksen tiedonvälittäjäsäännösten puute tekee vaikeaksi määrittää, kuinka paljon niitä on kansallisesti. Nykyisessä CCPA-lainsäädännön mukaisesti perustetussa Kalifornian rekisterissä on yli 500 tiedonvälittäjää, mukaan lukien IT-alan suuret toimijat, kuten Oracle, joka harjoittaa tervettä liiketoimintaa henkilötietojen myynnistä. Valtio odottaa kymmeniä muita, jotka ovat hakeneet rekisteröintiä, mutta eivät ole vielä maksaneet.

Välittäjät voivat kerätä hälyttävän määrän tietoa, mukaan lukien paitsi yhteystiedot, myös tiedot kaikesta tuloistaan ​​ja poliittisista mieltymyksistään omistamiinsa kiinteistöihin ja verkkokäyttäytymiseen. Tämä on johtanut joihinkin hämmästyttäviin tietosuojaloukkauksiin. Vuonna 2021 verkkouutistoimisto osti datavälittäjältä sijaintitiedot, jotka osoittivat, milloin ja missä ihmiset käyttivät Grindr-gay-yhteyssovellusta. Tämä johti katolisen papin lähtöön ja hänen myöhempää eroaan.

Muut valtion toimenpiteet

Edellisessä kongressissa jäsenet ehdottivat kolmea lakiesitystä, jotka on suunniteltu hallitsemaan tiedonvälittäjien käytäntöjä – Yhdysvaltain tietosuoja- ja tietosuojalaki, Data Elimination and Limiting Extensive Tracking and Exchange (DELETE) -laki, joka ei liity Kalifornian lakiin. Toinen, terveys- ja sijaintitietojen tietosuojalaki, pyrki estämään välittäjien terveys- ja sijaintitietojen myynnin. Kukaan ei päässyt presidentin pöydälle.

Kukkulan näyttäessä olevan poliittisen sisätaistelun ja liittovaltion vaalien tukossa alle vuoden kuluttua, vaikuttaa epätodennäköiseltä, että liittovaltion hallitus ryhtyisi välittömästi antamaan kansallisia lakeja hallitsemaan tiedonvälittäjiä. Sillä välin osavaltiot ottavat asian omiin käsiinsä paikallisilla tiedonvälittäjälailla. Delawarella on House Bill 262, kun taas Vermontissa on 9 VSA § 2430. Texasin kuvernööri Greg Abbott allekirjoitti sopimuksen SB 2015 toukokuussa.

Työssä on muitakin. Massachusetts pohtii edelleen asiaa Tietosuoja- ja tietoturvalaki (Bill S.2687), kun Oregon harkitsee House Bill 4017. Vaikka jokaisella osavaltiotason toimenpiteellä on omat vahvuutensa ja heikkoutensa, niiden kaikkien pitäisi lähettää selkeä signaali tiedonvälittäjille: valmistaudu laajempaan valvontaan ja lainsäädännöllisiin suojakaiteisiin.