Kalifornië se verwyderingswet fokus die lens op datamakelaars
INHOUDSOPGAWE:
Vanaf 2026 sal die lewe baie moeiliker word vir datamakelaars wat in Kalifornië sake doen. Vanaf 1 Augustus daardie jaar moet hulle aan ’n nuwe wet voldoen wat hulle verplig om ’n verbruiker se data op grond van ’n enkele versoek uit te vee.
SB 362, wat op 10 Oktober deur goewerneur Gavin Newsom onderteken is, staan ook bekend as die Delete Act. Die nuwe wet verskerp reëls wat oorspronklik deur die California Consumer Privacy Act (CCPA) in 2019 aan datamakelaars opgelê is.
Die CCPA het reeds staatsinwoners beskerm deur datamakelaars te dwing om 'n individu se persoonlike inligting op versoek uit te vee. Mense moes egter daardie versoeke individueel rig.
Die Skrapwet, wat in April vanjaar aan die wetgewer bekendgestel is, het 'n aanvanklike wetgewende poging om daardie probleem op te los (SB 1059) vervang. Dit poog om data-uitwissing vir verbruikers te vereenvoudig deur 'n enkele toegangspunt aan te bied, wat burgers in staat stel om massa-uitwissing van hul inligting te versoek oor alle datamakelaars wat onder die Wet geregistreer is.
Die California Privacy Protection Agency, die onafhanklike reguleerder wat deur die staat gestig is om die California Privacy Rights Act van 2020 te implementeer, moet daardie massa-uitveestelsel teen 1 Januarie 2026 bou. Alle datamakelaars moet nie later nie as Augustus aan die uitveevereistes begin voldoen. 1, 2026.
Wat is 'n datamakelaar?
Die Skrapwet beskryf 'n datamakelaar as "'n besigheid wat bewustelik die persoonlike inligting van 'n verbruiker met wie die besigheid nie 'n direkte verhouding het nie, versamel en aan derde partye verkoop."
Daar is egter 'n paar beduidende uitsluitings vir maatskappye wat deur ander regulasies gedek word. Dit sluit in verbruikersverslagdoeningsagentskappe soos kredietburo's, finansiële instellings, versekeringsmaatskappye en hul agente, en gesondheidsorgverskaffers of ander besighede wat deur HIPAA.
Data Makelaar Vereistes
Suiwer datamakelaars wat deur die Wet gedek word, sal vir die reguleerder se register betaal deur middel van 'n registrasiefooi wat in 'n toegewyde fonds ingaan. Benewens hul kontakbesonderhede, moet hulle ook ander inligting tydens registrasie openbaar maak, insluitend of hulle inligting oor minderjariges, geoliggingdata of reproduktiewe gesondheidsdata insamel.
Die Wet vereis dat datamakelaars data oor individue binne 45 dae vanaf 'n versoek uitvee. Hierdie vereiste is herhalend; hulle moet voortgaan om data elke 45 dae daarna uit te vee om te verseker dat hulle nie 'n bewaarplek van persoonlike data op 'n individu na die feit herbou nie. Hulle moet ook enige van hul diensverskaffers en kontrakteurs opdrag gee om die individu se data na 'n versoek uit te vee.
As die datamakelaar nie 'n versoek kan verifieer nie, moet hulle dit hanteer asof die verbruiker geweier het om enige data in die toekoms te verkoop of te deel. Die status van enige versoek bly in plek totdat die verbruiker anders sê.
Die verskaffing van bewys van voldoening
Die Wet dra ook 'n paar beduidende verslagdoeningsvereistes van datamakelaars. Teen 1 Julie van elke jaar moet hulle die aantal verwyderingsversoeke wat hulle ontvang het, saam met die aksies wat hulle gedoen het, rapporteer. Hulle moet ook die gemiddelde gemiddelde reaksietyd vir die versoeke rapporteer, die aantal versoeke wat hulle geweier het, en hoekom. Al hierdie inligting moet op hul webwerf geplaas word.
2026 is nie die enigste mylpaaljaar vir datamakelaars onder die Skrapwet nie. Elke drie jaar vanaf 1 Januarie 2028 moet hulle ook ’n oudit van ’n onafhanklike derde party ondergaan om te bewys hul voldoening aan die Wet se vereistes.
Straf vir die oortreding van die wet
Datamakelaars wat nie hulself in die regering se nuwe register inskryf nie, staar 'n boete van tot $200 per dag in die gesig. Die wet dreig hulle ook met bykomende boetes van tot $200 vir elke skrapversoek wat hulle nie nakom nie. Daar is egter kommer dat Kalifornië het min gedoen om makelaars te jaag en te boet wat versuim het om hulself in die huidige register aan te meld en dat dit makelaars kan aanmoedig om ook hierdie register te ontduik in die hoop om onder die radar te vlieg. Die teenargument is dat die nuwe wet beheer oor die register van die staatsdepartement van justisie na die privaatheidsreguleerder verwyder. Dalk sal laasgenoemde meer fokus hê?
Die spel is hoog, aangesien die Amerikaanse federale regering se gebrek aan datamakelaar-regulering dit moeilik maak om te bepaal hoeveel daar nasionaal is. Die huidige Kalifornië-register wat onder die CCPA-wetgewing gestig is, het meer as 500 datamakelaars, insluitend groot-naam IT-industriespelers soos Oracle, wat 'n gesonde besigheid doen in persoonlike dataverkope. Die staat wag op tientalle ander wat om registrasie aansoek gedoen het, maar nog moet betaal.
Makelaars kan 'n kommerwekkende hoeveelheid data insamel, insluitend nie net kontakbesonderhede nie, maar inligting oor alles van hul inkomste en politieke voorkeure tot die eiendom wat hulle besit en hul aanlyngedrag. Dit het gelei tot 'n paar verstommende privaatheidskendings. In 2021 het 'n aanlyn nuuswinkel liggingdata van 'n datamakelaar gekoop wat gewys het wanneer en waar mense die gay-aansluiting-app Grindr gebruik het. Hierdie gelei tot die uitstappie van 'n Katolieke priester en sy daaropvolgende bedanking.
Ander staatsmaatreëls
In die laaste kongres het lede drie wetsontwerpe voorgestel wat ontwerp is om in datamakelaarspraktyke te heers – die Amerikaanse Wet op Data Privaatheid en Beskerming, die Wet op die Uitskakeling van Data en Beperking Uitgebreide Opsporing en Uitruil (DELETE), wat nie met die Kaliforniese wet verband hou nie. 'n Ander, die Wet op Privaatheid van Gesondheid en Liggingsdata, het gepoog om die verkoop van gesondheids- en liggingdata deur makelaars te voorkom. Niemand het die president se lessenaar gehaal nie.
Met die Hill oënskynlik gekniehalter deur politieke binnegevegte en 'n federale verkiesing minder as 'n jaar weg, lyk dit onwaarskynlik dat die federale regering onmiddellik sal optree met enige nasionale wette om in datamakelaars te regeer. Intussen neem state die saak in eie hande met plaaslike datamakelaarwette. Delaware het Huis Bill 262, terwyl Vermont het 9 VSA § 2430. Greg Abbott, goewerneur van Texas, onderteken SB 2015 in Mei.
Daar is ander in die werke. Massachusetts is nog besig om te dink Wet op inligtingsprivaatheid en sekuriteit (Wet S.2687), terwyl Oregon dit oorweeg Huis Bill 4017. Terwyl elke maatreël op staatsvlak sy sterk- en swakpunte het, moet hulle almal 'n duidelike sein aan datamakelaars stuur: berei voor vir groter ondersoek en regulatoriese veiligheidsrelings.