קליפורניה: תיקוני חקיקה נוספים לחוק ה'מיני GDPR' המדינתי

בתי המחוקקים בקליפורניה (האסיפה הנבחרת והסנאט) אישרו בימים האחרונים מספר תיקוני חקיקה נוספים לחקיקת הפרטיות החדשה של קליפורניה שהתקבלה בשנה שעברה (וכבר הספיקה לעבור תיקונים ראשונים מספר חודשים לאחר מכן). כזכור, בין יתר הדברים, החוק מאפשר לתושבי קליפורניה לעיין במידע שחברות מחזיקות עליהם, לדרוש את מחיקתו, לקבל הבהרות על גורמים אחרים אליהם נמכר המידע ולדרוש שחברות יחדלו ממכירת המידע הלאה.

אלה עיקרי התיקונים שאושרו בימים האחרונים - 

  • החרגת תחולת החוק על מידע שמעסיק אוסף על עובדיו, מנהליו, חברי דירקטוריון, מועמדים לעבודה ופרינלנסרים, כך שגורמים אלה לא יהיו זכאים למרבית הזכויות שמקנה החוק לנושאי מידע (ובשל כך, ארגונים לא יהיו מחויבים להעניק להם זכויות אלה). עם זה, נושאי מידע כאלה עדיין זכאים לקבל מהארגון הודעת פרטיות המפרטת איזה מידע נאסף עליהם ואת מטרות האיסוף. כמו כן, תעמוד לגורמים אלה עילת תביעה נגד הארגון במקרה של אירוע אבטחת מידע שנגרם בשל התרשלות הארגון בהגנה על המידע. אי-תחולת החוק על גורמים אלה תפקע ב-1.1.2021, אז החוק ישוב ויחול במלואו על מידע שנאסף על גורמים אלה.
  • אמצעי אימות הזהות שעל ארגון ליישם לאימות נושא מידע המבקש לממש את זכויותיו יהיו ביחס סביר לאופי הבקשה של נושא המידע.
  • הדגשה כי מידע אישי שעליו חל החוק הוא כזה שניתן בסבירות לשיוך לאדם וכי מידע מותמם ולא מזוהה (deidentified) או מצרפי (aggregated) אינו מידע אישי שעליו חל החוק.
  • סירוב למחיקת מידע אישי של צרכן תהיה מוצדקת אם המידע נדרש לצורך הענקת אחריות מוצר או איסופו חזרה לצורך תיקונים (recall) בהתאם לחוק פדרלי, ובפרט בכלי רכב.
  • ארגונים שפועלים באופן בלעדי בסביבה מקוונת ובעלי קשר ישיר עם נושאי המידע אינם מחויבים בהעמדת מספר טלפון לשיחות חינם באמצעותו נושאי מידע רשאים להגיש בקשה למימוש זכויותיהם. ארגונים כאלה רשאים להסתפק בהעמדת כתובת אימייל לפניות כאלה. אולם אם ארגון מפעיל אתר אינטרנט, עליו לאפשר לנושאי מידע להגיש בקשות למימוש זכויותיהם באמצעות האתר.

אלה ככל הנראה תיקוני החקיקה האחרונים לפני כניסת החוק לתוקף ב-1.1.2020. תיקוני החקיקה עדיין טעונים אישור סופי של מושל קליפורניה, שצפוי לחתום עליהם בחודש הקרוב.