נכתב על ידי דותן המר ורוזאן חאטר
בעוד כחודש, בדיוק כשהשנה החדשה תחל, ייכנסו לתוקף ה- Privacy Rights Actבקליפורניה (CPRA) וה- Consumer Data Protection Act של וירג'יניה. שישה חודשים לאחר מכן, ייכנסו לתוקף חוק הגנת הפרטיות של קולורדו והחוק המקביל של קונטיקט. חוק הפרטיות של יוטה יחתום את 2023 וייכנס לתוקף ב-31 בדצמבר.
חברות וארגונים רבים הקדישו בשנים האחרונות מאמצים כדי לעמוד בהוראות חוק הפרטיות הקליפורני משנת 2018 (CCPA) והתקנות שקדמו ל-CPRA. חוקי הפרטיות החדשים שייכנסו לתוקף ב-1 בינואר הקרוב, ובמיוחד ה-CPRA, מחייבים ארגונים להקדיש מאמץ מחודש לבחינת התאימות לדין העדכני, מעבר לפעולות שנקטו בעקבות החוק הקודם, ה-CCPA.
היקף התחולה
CPRA. ה-CPRA כולל תיקונים מהותיים בהיקף התחולה שלו. בראש ובראשונה, הוא חל על כל ארגון למטרות רווח שעושה עסקים בקליפורניה (גם אם הוא מאוגד מחוץ לקליפורניה או אפילו מחוץ לארה"ב), שהכנסותיו השנתיות עולות על 25 מיליון דולר והוא אוסף מידע אישי על תושבי קליפורניה.
שנית, ה-CPRA חל על כל עסק שקונה או מוכר מדי שנה מידע אישי על 100,000 תושבי קליפורניה לפחות – או משתף עם צדדים שלישיים מדי שנה את המידע האישי של 100,000 תושבים כאלה לצורך פרסום מקוון מותאם אישית. שלישית, ה-CPRA חל גם על כל עסק שמפיק מחצית או יותר מההכנסות השנתיות שלו ממכירה או שיתוף מידע אישי באופנים האלה.
ה-CPRA גם קובע "שרשרת משמורת" חוזית על מידע אישי: עסק הכפוף ל-CPRA ומספק מידע אישי על תושבי קליפורניה לחברה אחרת שאינה כפופה לאותו חוק מעצם מאפייניה, נדרש במקרים מסוימים לחייב חוזית את החברה המקבלת לציית להוראות ה-CPRA גם אם החברה המקבלת אינה ספק שירות המעבד את המידע עבור העסק.
לבסוף, ה-CPRA מבטל פטורים שנקבעו קודם לכן ב-CCPA שקדם לו, בנוגע למידע אישי של עובדים ומידע אישי שנאסף על אנשי קשר עסקיים וקשרים עסקיים בין חברות. מידע אישי כזה יהיה כפוף במלואו ל-CPRA.
חוקי שאר המדינות. החוקים בווירג'יניה, קולורדו, קונטיקט ויוטה נוקטים גישה דומה בקביעת היקף התחולה, אבל אמות-המידה המספריות שהם קובעים שונות מאלה של קליפורניה ובנוסף יש דקויות אחרות בין החוקים.
הודעות פרטיות, אפשרויות בחירה, זכויות נושא מידע, חוזים עם ספקי שירות והגבלות על עיבוד מידע
CPRA. על-פי החוק החדש, עסק רשאי לעבד רק מידע אישי נחוץ ומידתי הדרוש באופן סביר להגשמת המטרות המוצהרות שלשמן נאסף המידע. אם יבקש להשתמש במידע למטרה אחרת, יהיה עליו לקבל מראש מנושא המידע הסכמה מפורשת, חופשית, פרטיקולרית וניתנת לביטול. יתרה מכך, בהשוואה ל-CCPA, ה-CPRA דורש מעסקים להקשיח את חוזיהם עם ספקי שירותים שמעבדים את המידע האישי עבורם.
ה-CPRA גם מרחיב את סוגי הודעות הפרטיות שעסקים חייבים לתת לנושאי המידע. אלה מקיפים כעת מדיניות פרטיות כללית, הודעה בזמן איסוף מידע אישי מנושא המידע, הודעה על הזכות להורות שלא למכור מידע אישי או לשתפו לצורך פרסום מקוון מותאם אישית, והודעה בדבר הזכות להגביל את השימוש במידע אישי רגיש. עסקים נדרשים גם לכבד איתותים טכנולוגיים סטנדרטיים המורים לחדול משיתוף מידע אישי או מכירותו, לדוגמה כאלה שדפדפן המשתמש מעביר לאתרי אינטרנט באמצעות ה-Global Privacy Control. הודעות הפרטיות חייבות לעמוד בתקני נגישות לתוכן אינטרנט. ה-CPRA גם מעניק לנושאי מידע זכויות מוגברות. אלה יכללו כעת את הזכות לתקן מידע לא מדויק וזכות לקבל עותק של המידע האישי בפורמט בר-ניוד.
חוקי שאר המדינות. החוקים בווירג'יניה, קולורדו, קונטיקט ויוטה שונים מה-CPRA בכמה עניינים מרכזיים. חלק מהחוקים הללו מחייבים לקבל מנושאי מידע הסכמה לעיבוד המידע האישי הרגיש אודותם, וחלקם דורשים עריכת תסקירי השפעה על פרטיות, עניין שה-CPRA עדיין לא אימץ במלואו.
אכיפה וזכות תביעה פרטית
CPRA. ה-CPRA מרחיב מעט את זכות התביעה הפרטית שה-CCPA הקודם העניק באופן מוגבל, אבל כל סמכויות האכיפה האחרות נתונות בלעדית לתובע הכללי של קליפורניה ולרשות הגנת הפרטיות של קליפורניה. ה-CPRA מגדיל משמעותית את הקנסות המוטלים על הפרות מסוימות של החוק ומגביל באופן משמעותי את ההזדמנות הניתנת לעסקים לתקן הפרות לאחר קבלת התראה מאת רשות הגנת הפרטיות של קליפורניה. עם זאת, נאסר על הרשות לנקוט פעולות אכיפה בגין הפרות שיתרחשו לפני 1 ביולי 2023, בנוגע לדרישות החדשות שה-CPRA קובע בחוק.
חוקי שאר המדינות. החוקים בווירג'יניה, קולורדו, קונטיקט ויוטה נוקטים גישה מקלה יותר ומאפשרים לחברות לרפא פגיעות בפרטיות לפני שניתן להטיל עליהן קנסות. בדרך כלל, הם גם מגבילים את זכות התביעה הפרטית.
הערות סיום
ההתפתחויות הללו בדין האמריקאי מצריכות בדיקות, התאמות ושינויים בנהלי הפרטיות של חברות הכפופות ל-CPRA, לפני תאריך תחילת האכיפה שלו, ב-1 ביולי 2023. אנו ממליצים לחברות לשקול לערוך פרויקט תאימות ל-CPRA בשבועות ובחודשים הבאים.
