חוק הגנת פרטיות הצרכן בקליפורניה כבר בפתח - על אילו ארגונים להיערך?
מוגש מטעם DUN'S 100
בעוד פחות מחודש, ביום 1 לינואר 2020, ייכנס לתוקף חוק הגנת פרטיות הצרכן של קליפורניה (The California Consumer Privacy Act – CCPA), זאת, בהמשך להלך הרוח הגלובלי ותהליכי חקיקה משמעותיים בשנים האחרונות ביחס להגנת הפרטיות, ובפרט הGDPR האירופאי. ה- CCPA מהווה ציון דרך חשוב בנושא הגנת פרטיות בארה"ב והינו בעל השפעה מהותית ותחולה רחבה על כל ארגון גלובלי.
בנוסף כאשר בדומה לCCPA, קובעי מדיניות רבים מקדמים חקיקה מדינתית, מגמה זו עשויה לדרבן את הקונגרס לפעול לחקיקה פדרלית בנושא הגנת הפרטיות ואבטחת מידע, כאשר זו, באם תחוקק, עשויה לסייע לאותם ארגונים גלובליים לאמץ ולהטמיע מדיניות כוללת, במקום לבצע התאמות ביחס לכל חקיקה מדינתית, בדומה לGDPR.
הCCPA הרחיב את הגדרת המידע אשר נחשב כ"מידע אישי", אף ביחס לGDPR האירופאי. כך לדוגמא, תחת הCCPA "מידע אישי" כולל כל מידע המזהה, מתייחס, מתאר, מקושר, או יכול להיות מקושר ישירות או בעקיפין, לצרכן, משק בית מסוים או מכשיר אישי, לרבות שמות, כינויים, מזהים אישיים ייחודיים, כתובת פרוטוקול אינטרנט (IP), מזהי מכשיר, דוא"ל וכדומה. "מידע אישי" כולל גם "מידע מסחרי" כגון, מוצרים ושירותים שנרכשו, היסטוריית חיפוש ברשת, אינטראקציות של צרכנים עם אתרים, מודעות ואפליקציות, פרופיל צרכני לצורך פרסום מותאם אישית ועוד.
מבחינת תחולתו של החוק, טכנית, החוק יחול על חברות שעושות עסקים בקליפורניה ואוספות מידע ביחס לתושבי קליפורניה. עם זאת, בפרקטיקה תחולת החוק רחבה ביותר, והוא רלוונטי גם לכל חברה אשר פועלת בתחום האונליין, מציעה שירותים באמצעות אתרי אינטרנט, או משווקת באמצעות מדיה דיגיטלית. כך לדוגמא, הCCPA מחייב לספק לצרכנים אפשרות לבטל הסכמה למכירת מידע אישי ("Do Not Sell"). ההגדרה של "מכירה" מאוד רחבה וכוללת העברת המידע לצד שלישי תוך קבלת תמורה כלשהי (כספית או אחרת). על פי דעות רבות, בעצם העובדה כי מפעיל של אתר אינטרנט מאפשר לצדדים שלישיים, כדוגמת Google, להטמיע "עוגיות" וטכנולוגיות מעקב בדפדפנים של מבקרי האתר, הוא הופך את אותו האתר "זמין" למידע האישי של הצרכנים, כאשר "התמורה" הינה השתתפות במערכת הפרסום הממוקד.
סביר להניח שחברות יבחרו לעמוד בתנאים הנדרשים, במקום להימנע מהשוק האטרקטיבי של הכלכלה החמישית בגודלה בעולם. לאור המגמות הגלובליות, נראה כי כיום אין תועלת ביצירת מערכות נפרדות ורצוי שחברות יאמצו מדיניות שמיישמת את הרגולציה לעניין איסוף, עיבוד ואבטחה של מידע אישי, באופן גלובאלי.
ביום 23.12.19 יתקיים כנס בשיתוף משרד עוה"ד עמית, פולק, מטלון ושות' והמכון הישראלי למדיניות טכנולוגיה במסגרתו ידונו מומחים בתחום הגנת הפרטיות על ההשפעות של כניסתו לתוקף של הCPPA וההשלכות אשר על חברות הפועלות בתחום הטכנולוגיה ובזירת האונליין לנקוט על מנת לוודא עמידה בהוראות הCCPA.
מאת: עו"ד הילה שרייבמן ועו"ד עדי אלרום, שותפות במחלקת ההיי טק ומובילות את תחום הטכנולוגיה, פרטיות ורגולציה בפירמת עמית, פולק, מטלון ושות'. עו"ד גל עומר, יועצת מיוחדת במחלקת קניין רוחני ופרטיות בפירמת עמית, פולק, מטלון ושות'.