קליפורניה: טיוטת תקנות מעודכנות ל-CCPA

בינה מלאכותית פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד דותן המר

שותף בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

סוכנות הגנת הפרטיות בקליפורניה פרסמה להערות הציבור סבב מעודכן של שינויים מוצעים לתקנות חוק הפרטיות בקליפורניה (ה-CCPA), ובו חובות חדשות החלות על עסקים בנוגע לביקורות אבטחת סייבר, תסקירי פרטיות, טכנולוגיה לקבלת החלטות אוטומטית (ADMT), וחברות ביטוח.

בתחום ביקורות אבטחת סייבר, התקנות המוצעות יחולו על עסקים המעבדים מידע אישי של צרכנים באופן שמעורר סיכוני פרטיות או אבטחת מידע משמעותיים. עסקים אלה נדרשים לערוך ביקורות שנתיות. הביקורות חייבות להתבצע על ידי איש מקצוע מוסמך ועצמאי, הבוחן את תוכנית אבטחת הסייבר של העסק, מזהה פערים, ומתעד תוכניות לתיקונם. הביקורת נדרשת לעסוק בין היתר באמצעים קונקרטיים לאבטחת מידע כמו אימות דו-שלבי, בקרות גישה, תצורה מאובטחת, ותגובה לאירועי אבטחה. עסקים יידרשו לשמור את מסמכי הביקורת למשך חמש שנים ולהצהיר באופן שנתי על ביצועה בפני סוכנות הגנת הפרטיות של קליפורניה עד ה-1 באפריל.

לפי התקנות המוצעות, עסקים גם יידרשו לערוך תסקירי סיכונים לפני עיבוד מידע שמציג סיכון משמעותי לפרטיות. התסקיר יהיה חייב לקבוע אם הסיכונים לפרטיות הצרכנים עולים על היתרונות. התהליך דורש תיעוד מטרת העיבוד, קטגוריות נתונים (כולל מידע רגיש), אלמנטים תפעוליים, יתרונות, השפעות שליליות פוטנציאליות, ואמצעי הגנה מתוכננים. אמצעי ההגנה חייבים להתייחס באופן קונקרטי להשפעות השליליות שזוהו קודם לכן. הסקירות טעונות עדכונים לפחות כל שלוש שנים או עקב שינוי מהותי בעיבוד המידע. עסקים חייבים לשמור על תסקירים אלה למשך חמש שנים או למשך העיבוד המיועד, לפי הארוך מהשניים. התקנות גם יחייבו הגשה שנתית של חומרי התסקיר לידי סוכנות הגנת הפרטיות בקליפורניה.

התקנות המוצעות מציגות גם הוראות חדשות לעסקים המשתמשים בטכנולוגיה לקבלת החלטות אוטומטית (Automated Decision Making Tools - ADMT), לרבות בינה מלאכותית, עבור החלטות משמעותיות, כמו הזדמנויות תעסוקה או חינוך, או לצורך יצירת פרופיל מידע על הצרכן. הדרישות העיקריות לעסקים המבצעים פעולות כאלה כוללות מתן הודעה מקדימה לצרכנים על השימוש ב-ADMT, זכות הצרכן להורות שלא להשתמש ב-ADMT בדרך קלה ופשוטה שלא דורשת תהליכי אימות, וזכות לגשת למידע המסביר כיצד ה-ADMT פעל בקבלת החלטה מסוימת הנוגעת לצרכן. לפי התקנות המוצעות, עסקים המשתמשים ב-ADMT להחלטות משמעותיות חייבים גם לאפשר לצרכן לערער על ההחלטה בפני נציג אנושי מוסמך, מלבד במקרים חריגים מוגבלים הנוגעים לאבטחה, מניעת הונאות או למטרות בטיחות.

טיוטת התקנות המעודכנות גם מחדדת את תחולת ה-CCPA על חברות ביטוח. הן כפופות ל-CCPA לעניין מידע אישי שהן אוספות מחוץ לעסקאות ביטוח, כגון נתוני גלישה באתר חברת הביטוח המשמשים לפרסום ממוקד ברשת.

טיוטת התקנות פתוחה כעת להערות הציבור עד לתחילת יוני.