I november antog de kaliforniska väljarna Proposition 24, California Privacy Rights Act (CPRA) från 2020. Detta valinitiativ bygger på 2018 års California Consumer Privacy Act (CCPA) och kallas ibland för ”CCPA 2.0”. CPRA är dock mer av en omstart än en uppföljare, och det ökar avsevärt individernas rättigheter och skyldigheterna för företag som hanterar personuppgifter.
CPRA fick ett enormt folkligt stöd; det fick 56 % av rösterna, vilket gjorde det till det näst mest populära kaliforniska omröstningsinitiativet 2020. Lagens popularitet innebär att företag måste ta den på allvar, annars riskerar de att drabbas av ryktesspridning.
Här går vi igenom några av de viktigaste nya tilläggen i CPRA och ger förslag på hur du kan förbereda dig.
Följande information är inte avsedd som juridisk rådgivning, och läsarna bör rådgöra med sina advokater om frågor om efterlevnad.
CPRA trappar upp påföljder och verkställighet
CCCPA lade verkställigheten i händerna på Kaliforniens riksåklagare, men CPRA ger mer makt till enskilda personer och till en ny statlig myndighet. Faktum är att lagförslaget ursprungligen kallades California Privacy Rights and Enforcement Act (CPREA), vilket visar på den nya betoningen på ansvarsskyldighet.
Etablering av ett nytt tillsynsorgan
CPRA skapar California Privacy Protection Agency (CPPA), som Lexology kallar för ”det första statliga organet i USA som enbart fokuserar på integritetsskydd”. CCPA har till uppgift att upprätthålla lagen genom att utfärda böter och kräva att företag genomgår riskbedömningar och revisioner av sina riktlinjer för datahantering.
Den kommer dessutom att tillhandahålla ytterligare förordningar, regler och vägledning när det gäller CPRA:s tolkning. Enligt Prop 24:s webbplats kommer detta nya organ att ha en budget på 10 miljoner dollar, vilket ”skulle motsvara ungefär samma antal anställda för integritetsskydd som FTC har för att övervaka hela landet.”
Detta kan faktiskt sluta med att vara goda nyheter för företagen eftersom CPPA kommer att kunna erbjuda vägledning och klarhet om CPRA:s krav. CCPA:s språk var en källa till förvirring, och National Law Review påpekar att CCPA har varit impopulärt på grund av dess ”alltför omfattande definitioner, tvetydiga språk och övergripande brist på klarhet”. Denna byrå skulle kunna fungera på samma sätt som Storbritanniens Information Commissioner’s Office (ICO), som har bidragit till att skapa klarhet och vägleda tillämpningen av den allmänna dataskyddsförordningen (GDPR).
Expanding private right of action
Under CCPA hade enskilda personer mindre makt att ställa företag till svars för bristande efterlevnad. Enligt CCPA kan privatpersoner endast vidta privata rättsliga åtgärder mot ett företag för vissa typer av överträdelser och, ofta, endast efter att ha gett företaget ett meddelande och en chans att ”åtgärda” problemet. Men i den nya lagen står det att ”genomförandet och upprätthållandet av rimliga säkerhetsförfaranden och rutiner … efter en överträdelse utgör inte en åtgärd”.
Med andra ord, om korna lämnar ladugården måste företagen sätta tillbaka dem i ladugården om de vill undvika rättsliga problem. Att bara sätta ett lås på dörren så att inget kommer ut nästa gång räcker inte.
CPRA Follows GDPR’s Lead
CPRRA innehåller många begrepp som är bekanta för alla som har studerat GDPR. Dessa nya tillägg syftar till att ge individer mer kontroll över sina personuppgifter och begränsa hur företag kan använda dem.
En ny kategori av ”känsliga personuppgifter”
I CPRA införs begreppet ”känsliga personuppgifter” som en särskild kategori av uppgifter, som omfattas av högre standarder än andra personuppgifter. Detta begrepp finns redan i dataskyddsförordningen, även om CPRA:s definition är bredare.
Känsliga personuppgifter i CPRA kan delas in i två kategorier: direkta identifierare och mycket privata uppgifter. Den första kategorin omfattar statligt utfärdade ID-handlingar, finansiell information och alla kombinationer av kontouppgifter som ger tillgång till ett konto. Den andra kategorin skulle omfatta exakt geolokalisering, etnicitet, religion, genetisk och biometrisk information, sexuell läggning och innehållet i e-postmeddelanden och sms-meddelanden, såvida inte dessa meddelanden skickades till företaget i fråga.
CPRA ger uttryckligen enskilda personer större makt att begränsa hur företag använder denna information. Användarna kan nu begära att ett företag använder denna information endast i den mån det är nödvändigt för att tillhandahålla tjänster eller varor ”som en genomsnittskonsument rimligen kan förvänta sig” och endast för ett begränsat antal ändamål som särskilt anges i lagen.
Detta skapar i sin tur ett nytt krav på opt-out för företag, vilket JD Supra spekulerar i att det kan innebära att de ska inkludera ”en länk på hemsidan med titeln Limit the Use of My Sensitive Personal Information”. Detta skulle vara ett separat meddelande från en länk som lyder: ”Do Not Sell or Share My Personal Information.”
Introduktion av ”rätt till rättelse”
CPRA ger konsumenter rätt att begära att företag rättar felaktig personlig information om den konsumenten. (I dataskyddsförordningen kallas detta ”rätt till rättelse”.) Företagen är skyldiga att informera konsumenterna om denna rätt, och om någon begär en ändring måste de göra ”kommersiellt rimliga ansträngningar” för att korrigera den.
Ökat antal begränsningar för lagring/släckning av uppgifter
CCCPA ger konsumenterna en begränsad rätt att begära att deras personuppgifter ska raderas, om än med flera undantag som gör den betydligt svagare än dataskyddsförordningens ”rätt att bli bortglömd”. CPRA lägger ansvaret på företag (och de parter som hanterar deras information) att radera uppgifter på egen hand. Lagen kräver att företag endast behåller personuppgifter så länge som det är nödvändigt för att uppnå de syften som konsumenten informerats om.
Och om en konsument begär att uppgifterna ska raderas måste företagen vidarebefordra denna begäran till tjänsteleverantörer och entreprenörer, som i sin tur måste informera sina egna tjänsteleverantörer och entreprenörer för att skapa en gemensam skyldighet att radera uppgifterna.
Utvidgad räckvidd till ”delning” av uppgifter
I nästan alla fall där CCPA nämner ”försäljning” har CPRA ändrat det till ”försäljning eller delning”. För att vara tydlig är CCPA:s definition av försäljning redan ganska bred. CPRA syftar dock till att undanröja de kryphål som företagen utnyttjar för ”kontextöverskridande beteendebaserad reklam”.
Denna ändring kan göra det omöjligt för företag som Facebook och Google att kringgå kravet på opt-out genom att insistera på att de inte ”säljer” användaruppgifter utan bara låter annonsörer använda dessa uppgifter för målinriktad marknadsföring. Som Datawallet rapporterar kan denna lilla förändring i slutändan ”helt förändra status quo i det befintliga ekosystemet för digital annonsering.”
Hur företag bör förbereda sig för CPRA
Den goda nyheten för företag är att tillämpningen av CPRA inte kommer att börja förrän i juli 2023. CPRA förlänger också CCPA:s undantag för uppgifter om anställda fram till dess.
IAPP spekulerar i att denna grace period kan vara avsedd att ge den federala regeringen tid att införa nationell integritetslagstiftning. Oavsett orsaken har företagen viss tid på sig att förbereda sig och införa nya datapolicyer.
Strappa upp policyer för radering av data
Som tidigare diskuterats kräver CPRA att företag (och de externa parter som samarbetar med dem) raderar personuppgifter efter att de har tjänat sitt syfte. Förutom att följa denna del av lagen är radering av uppgifter helt enkelt god praxis, eftersom ju fler personuppgifter du behåller, desto mer har du att förlora vid en överträdelse. Och med tanke på den nya lagens betoning på verkställighet och dess utökade rätt till privata åtgärder kan varje komprometterad post i ett brott leda till allvarliga påföljder.
För att skärpa raderingsprinciperna krävs först och främst att alla personuppgifter redovisas och inte flyter omkring i etern. Som IAPP uttrycker det: ”Även om många integritetsansvariga har infört årliga dagar för radering av data som bästa praxis, har det förblivit en ständig utmaning att få alla anställda att följa reglerna och radera mängder av föråldrade data som inte längre tjänar något syfte.”
En lösning på den här utmaningen är att koppla samman alla personuppgifter under centraliserade användarprofiler, som är åtkomliga via ditt system för identitets- och åtkomsthantering (IAM). Att ha ett enda arkiv för kunduppgifter förenklar efterlevnaden av många aspekter av Kaliforniens dataskyddslagar, t.ex. när det gäller att radera personuppgifter, göra korrigeringar och ge rapporter till konsumenter på begäran.
Implementera MFA för inloggningar
CPRA pekar ut inloggningsuppgifter för särskild uppmärksamhet. I första hand inkluderas inloggningsuppgifter under ”känslig personlig information”. Medan CCPA endast gav enskilda personer privat rätt till rättsliga åtgärder om ett intrång avslöjade deras okrypterade personuppgifter, utökar CPRA denna rätt till intrång som avslöjar en användares ”e-postadress i kombination med ett lösenord eller en säkerhetsfråga och ett svar som skulle ge tillgång till kontot”, förutsatt att intrånget inträffade som ett resultat av att företaget inte upprätthöll rimliga säkerhetsrutiner.
Detta nya språk är ett tydligt försök att bekämpa epidemin av bruten autentiseringsattacker, t.ex. credential stuffing, där exponerade inloggningsuppgifter blir en inkörsport för identitetsstölder.
Ett sätt att förbättra efterlevnaden är att kryptera lagrade lösenord. Men enbart kryptering kan vara otillräckligt eftersom krypteringsstandarderna ändras, och det finns alltid en möjlighet att du har en gammal databas med lösenord i klartext som gömmer sig i dina system.
Det är därför det är klokt att implementera flerfaktorsautentisering (MFA) och se till att enbart autentiseringsuppgifter inte automatiskt ger tillgång till konton. MFA kommer att begära ytterligare en form av legitimation (t.ex. ett fingeravtryck eller en engångskod) i händelse av en ovanlig inloggning (t.ex. om någon försöker logga in med en ny enhet).
Undersök dina relationer med tredje parter
CPRA lägger stor vikt vid att utvidga dataskyddsskyldigheterna till entreprenörer, tjänsteleverantörer och tredje parter. Den definierar specifikt en entreprenör som någon som ett företag ger tillgång till personuppgifter via ett skriftligt kontrakt. Detta kontrakt förbjuder entreprenören att sälja eller dela uppgifter med andra parter eller att använda dem för ändamål som inte anges i kontraktet.
CPRA kräver också att varje tjänsteleverantör, entreprenör eller tredje part som tar emot uppgifter avtalsmässigt går med på att följa CPRA:s normer. IAPP konstaterar att dessa krav ”påminner om GDPR och olika internationella mekanismer för dataöverföring som är utformade för att utöka GDPR-skydd och möjliggöra gränsöverskridande efterlevnad.”
Dessa förändringar gör det viktigt för företag att utbilda sig om dataskydds- och cybersäkerhetsstandarderna för varje extern part som de delar personuppgifter med. Arbetet med att upprätta kontrakt kommer att falla på advokater, men det är upp till säkerhetsexperter att se till att tredje parter lever upp till sina avtalsförpliktelser genom att praktisera god datasäkerhet.
CPRA är en stor (men inte nödvändigtvis dålig) nyhet
När nyheten om ”CCPA 2.0” först släpptes, strax efter antagandet av den ursprungliga lagen, var vissa företagsledare bestörta. Några verkade känna att Alastair Mactaggart, rörelsens ledare, personligen var ute efter dem. Men nu när lagen har antagits är det dags för alla berörda att anamma dess övergripande mål.
De nya tilläggen i denna sekretesslag är en del av en bred utveckling av konsumenternas rättigheter. Och även om denna särskilda lag endast gäller för kalifornier, finns det delstatliga lagar som växer fram över hela USA med liknande agendor. Även om det kan vara en utmaning att följa detta nationella och globala lapptäcke av lagar kräver de alla samma grundläggande inställning. Respektera integriteten, tillämpa öppenhet och kontrollera tillgången till personuppgifter.
Vill du veta mer om grunderna för dataintegritet, datasäkerhet och efterlevnad av lagstiftningen? Börja här.
Om Auth0
Auth0 tillhandahåller en plattform för att autentisera, auktorisera och säkra åtkomst för program, enheter och användare. Säkerhets- och applikationsteam förlitar sig på Auth0:s enkelhet, utbyggbarhet och expertis för att få identiteten att fungera för alla. Auth0 skyddar miljarder inloggningstransaktioner varje månad, säkrar identiteter så att innovatörer kan innovera och ger globala företag möjlighet att leverera pålitliga, överlägsna digitala upplevelser till sina kunder över hela världen.
För mer information, besök https://auth0.com eller följ @auth0 på Twitter.