קולורדו: חוק פרטיות חדש בעקבות וירג'יניה וקליפורניה

מושל מדינת קולורדו בארה"ב אישר את חוק הפרטיות של קולורדו (Colorado Privacy Act), שנכנס עתה לספר החוקים והופך אותה למדינה השלישית בארה"ב שמחוקקת חוק פרטיות מקיף, לאחר קליפורניה (ב-2018) ווירג'יניה (ב-2021). החוק, שייכנס לתוקף ביולי 2023, מעניק הגנה למידע אישי על תושבי קולורדו וחל על ארגונים שמכוונים עצמם לתושבי קולורדו ומעבדים מידע אישי על 100,000 או יותר מתושבי המדינה בשנה, או שמוכרים מידע על 25,000 או יותר מתושבי המדינה בשנה.

החוק מקנה לנושא המידע זכות להורות שלא למכור את המידע עליו, לא להשתמש במידע עליו לצורכי פרסום ממוקד, ולא לקבל על בסיס המידע החלטות המשפיעות עליו באופן מהותי. אחד החידושים בחוק הוא חובתם של ארגונים, החל מ-1.7.2024, לציית למנגנון opt-out אוניברסלי שיוגדר ע"י התובע הכללי של קולורדו. המנגנון האוניברסלי יאפשר לנושא מידע להגדיר פעם אחת ובמקום אחד את רצונו שלא יעשה שימוש במידע עליו במצבים המתוארים לעיל, כך שכל ארגון הכפוף לחוק יידרש להתעדכן בבחירה האוניברסלית של המשתמש ולנהוג על פיה.

החוק גם מקנה לנושאי מידע זכות לעיין במידע שנאסף עליהם, וכן להורות על תיקון, מחיקה או ניוד של המידע. הוא מחייב כמובן פרסום הודעת פרטיות המתארת, בין היתר, את המידע שנאסף, מטרות העיבוד, ולמי נמסר המידע הלאה. החוק מטיל חובה למזעור המידע ואיסור על שימוש משני במידע שלא עולה בקנה אחד עם המטרות המקוריות לשמן נאסף המידע, אלא אם נתקבלה הסכמה מאוחרת יותר של נושא המידע לשימוש המשני. עיבוד מידע בנסיבות הנושאות סיכון לפרטיות יחייב את הארגון לערוך מבעוד מועד תסקיר השפעה על הפרטיות. אכיפה הוראות החוק תהיה נתונה באופן בלעדי לתובע הכללי של קולורדו, ולא תקום זכות תביעה אזרחית לנושאי מידע שנפגעים מהפרת הוראות החוק.

במכתב ששיגר המושל עם חתימתו על החוק, הוא הדגיש שהחפזון בהליך החקיקה גרם לכך שמספר נושאים טעונים תיקון בחוק. לדבריו, התיקונים ייעשו בשנת החקיקה הבאה כדי לאזן את הגנת הפרטיות של צרכנים עם הצורך להציב את קולורדו כמדינה אטקרטיבית עבור חברות טכנולוגיה לעשות בה עסקים.