קליפורניה הכריעה: רפורמה בחוק הפרטיות (CCPA)

אמרו מעתה CPRA במקום CCPA: בבחירות שהתקיימו אתמול, מסתמן שרוב קולות המצביעים בקליפורניה תמכו באישור ה-California Privacy Rights Act - CPRA שמיועד להחליף את חוק הפרטיות לצרכנים בקליפורניה (California Consumer Privacy Act - CCPA) שרק נכנס לתוקפו לפני פחות משנה ושאכיפתו החלה רק לפני חודשים אחדים. law.co.il מזכיר כי חוקת קליפורניה מאפשרת בתנאים מסוימים להביא למשאל-עם הצעות חוק מקרב הציבור. במידה והצעת החוק זוכה לתמיכה של רוב המצביעים, היא מתקבלת לספר החוקים באופן ישיר ללא צורך באישור המחוקקים או המושל.

ה-CPRA משתרע על לא פחות מ-52 עמודים. החוק ברובו ייכנס לתוקף בעוד כשנתיים, ב-1.1.2023. עם זה, מקצת הוראותיו יחלו כבר בשבועות הקרובים לאחר שתוצאות הבחירות יפורסמו באופן רשמי ברשומות.

החוק מייסד רשות מדינתית חדשה בקליפורניה להגנת פרטיות. היא תוקם לאחר הפרסום הרשמי של תוצאות הבחירות ותתוקצב במיליוני דולרים מתקציב מדינת קליפורניה. הרשות תוכל ליטול מהתובע הכללי של קליפורניה את סמכות האכיפה של החוק ואת סמכותו להתקנת תקנות לביצוע החוק. הוראות החוק שיחלו בשבועות הקרובים מרחיבות מאד את התחומים והנושאים שרשות הגנת הפרטיות נדרשת להתקין תקנות לגביהם. החוק מחייב, בין היתר, התקנת תקנות שלפיהם עסקים המעבדים מידע רגיש יערכו ביקורת אבטחת מידע שנתית ע"י גורם בלתי תלוי ויגישו לרשות תסקיר תקופתי הבוחן את ההשפעה והסיכונים שיש לעיבוד המידע על פרטיות נושאי המידע.

כאמור, מרבית הוראות החוק יחלו בעוד יותר משנתיים, והן כוללות בין היתר:

  • הוראות חדשות על זכות נושא המידע לתקן מידע שגוי או לא מעודכן אודותיו.
  • הקניית זכות לנושאי מידע להגביל את השימושים שנעשים במידע אישי רגיש שלהם.
  • איסור שמירת מידע מעבר לתקופה בה הוא נחוץ.
  • הרחבת זכות נושאי המידע לתבוע בשל אירוע אבטחת מידע.
  • הבהרה כי שיתוף מידע אישי עם רשתות פרסום מקוונות לצורך פרסום ממוקד נחשב ל"מכירת מידע" לפי החוק ומחייב להעניק לנושא המידע אפשרות למנוע את שיתוף המידע.