DRONELIFE EXKLUZIVNĚ: Nový Kalifornii Práva na ochranu Soukromí Může Všechno Změnit Drone Operátorů v USA

nový Kalifornii práva na ochranu soukromí může všechno změnit drone subjekty ve státě – a mohl by být použit jako model v celé zemi.

toto je hostem příspěvek od advokátů z advokátní kanceláře Mintz, Levin, Cohn, Ruské, Glovsky a Popeo, P. C. Tento kus byl autorem Cynthia Laroseová, Laura Stefani, Jonathan Markman, a Elana. R. Safner.

provozovatelé dronů čelí nové výzvě: CCPA

je rok 2020 a křišťálová koule není jediná věc, která klesla. 1. ledna ohlašoval Nový rok, nové desetiletí a implementaci Kalifornského zákona o ochraně osobních údajů spotřebitelů z roku 2018 („CCPA“). Zatímco podniky, které jsou více tradiční sběratele a zpracovatele osobních údajů („PI“) byly přípravy na CCPA je datum provedení, mnoho jiných společností, které shromažďují PI jen tak mimochodem, může se ocitnou lapeni do pasti expanzivní rozsah z národa je nejvíce dalekosáhlé údajů, práva na ochranu soukromí.

kde to zanechá společnosti, jako jsou operátoři dronů, kteří pouze náhodně vytvářejí a ukládají kamerové záznamy s takovými osobními údaji, jako jsou obrázky tváří v průběhu plnění svého obchodního účelu? Co když takové společnosti nikdy nevynaloží žádné úsilí k identifikaci těchto osobních údajů? Jak tento článek vysvětlí, takové společnosti nejsou zcela omluveny z dodržování CCPA a musí pečlivě zvážit své obchodní praktiky a další kroky, aby se dostaly do souladu.

Tento problém nastává, protože CCPA definuje „osobní informace“ velmi široce, vzhledem k tomu, že výjimky z definice – jako jsou veřejně dostupné informace, a de-zjištěné informace – jsou vymezeny poměrně úzce. Tato úmyslná rozhodnutí Kalifornského zákonodárce činí z CCPA dosud nejrozsáhlejší americký zákon o ochraně osobních údajů. Oni také přiřadit povinnosti definovanými podniků a poskytovatelů služeb, které se zapojily do obchodní praktiky – jako neúmyslné sbírka obrazů tváří – že obecně byly nedotčené jiné zákony na ochranu soukromí ve Spojených Státech. Tento článek stanoví problémy, které je třeba zvážit, a soubor akčních položek pro tyto podniky, aby usilovaly o dodržování CCPA.

proč by se měli operátoři dronů obávat?

CCPA se vztahuje na neočekávaně široký rozsah dat. Mylná představa o CCPA je, že to platí pouze v rámci přímého shromažďování osobních informací od spotřebitelů prostřednictvím metod, jako jsou on-line nákupy, historie vyhledávání, soubory cookie a další behaviorální preference. V realitě, definice pi CCPA vrhá mnohem širší síť. Platí také pro PI shromážděné na a offline.

Pod CCPA, „osobní údaje“ jsou definovány jako „informace, která identifikuje, se týká, popisuje, je přiměřeně schopná být spojena s, nebo mohl rozumně být spojeny, přímo nebo nepřímo, s určitou spotřebitele nebo domácnosti.“Patří sem mimo jiné biometrické informace, jako jsou tváře zachycené drony, sledovací kamery a další prostředky záznamu videa. „Osobní údaje“ výslovně vylučují veřejně dostupné informace. Dalo by se rozumně domnívat, že přítomnost a vizáž osoby venku nebo na veřejném majetku by mohla být považována za veřejně dostupnou. CCPA však zaujímá jinou pozici. Uvádí, že „“ulicky dostupné“ neznamená biometrické informace shromážděné podnikem o spotřebiteli bez vědomí spotřebitele.“To znamená, že fotografie a video – a také zvukové, tepelné, čichové a další údaje – spadají pod definici osobních údajů. Důležité je, že PI shromážděné videem nemusí být podnikem skutečně propojeny se spotřebitelem, pouze přiměřeně schopné být propojeny „přímo nebo nepřímo“.

ale data Neidentifikujeme!

definice těchto pojmů vyvolávají mnoho otázek o tom, jak bude CCPA použita v určitých kontextech. Ačkoli veřejně dostupné informace jsou vyňaty z definice osobních údajů, vidíme, že to nemusí nutně ušetřit provozovatele dronů od dodržování CCPA, jak je popsáno výše. CCPA rovněž osvobozuje od identifikovaných informací. Určitě to ušetří dronové společnosti a další sběratele náhodných videozáznamů z povinností CCPA? Takové společnosti ne, po všem, propojit tváře, které shromáždili, se skutečnými lidmi, natož se pokusit na základě těchto informací vybudovat jakýkoli druh behaviorálního profilu.

Kalifornský zákonodárce zvažoval – a neprošel-pozměňovací návrh (AB-873), který by tento problém vyřešil. To je pravděpodobné, protože CCPA bylo, v část, zaměřená na riziko, že i přesto, že firma sbírá PI nesnaží identifikovat, PI může být porušena a re-identifikovat pomocí externího datového souboru. AB-873 by se zabýval provozními obavami podniků, jako jsou dronové společnosti, které sbírají PI náhodně, spíše než úmyslně během běžného podnikání. De-zjištěné informace nejsou považovány za osobní údaje podle CCPA, a AB-873 by rozšířil definici „de-identifikoval“, aby zahrnoval veškeré informace, které „nejsou schopni identifikovat a není rozumně možné korelovat“ na spotřebitele. Zákonodárce se nakonec zúžit definici „osobních údajů“, aby obsahoval pouze informace „rozumně“ schopen být spojena se spotřebitelem, nebo v domácnosti, která dává drone společnosti a těch, podobně nachází důvod k optimismu. Mohou být schopni tvrdit, že kroky, které by oni nebo jiné společnosti musely podniknout, aby skutečně propojily své informace, nejsou rozumné. Není jasné, nicméně, jaké soudy interpretující zákon budou považovat za „rozumné“.“Je možné, že se budeme muset spoléhat na donucovací opatření, abychom interpretovali rozsah „přiměřenosti“.“S robustními databázemi rozpoznávání obličeje, které jsou nyní široce dostupné, lze argumentovat oběma směry.

CCPA vyvolává mnoho dalších otázek. Může například dron letící v zákonem povolené nadmořské výšce skutečně zachytit přiměřeně identifikovatelné záběry tváří? Počítá se, zda musí být video zvětšeno, aby byly tváře přiměřeně propojitelné s jednotlivci? Nemá spotřebitel „mít znalosti“ z kolekce záběry nebo biometrické informace – čímž na informace „veřejně dostupné“ a mimo CCPA – je-li společnost účtuje známky uvádí, že video záznam a/nebo sledování se shromažďují v prostoru? Pokud ano, kolik znaků a kde musí být zveřejněny, aby se přičítaly znalosti?

tak co?

CCPA zaručuje spotřebitelům různá práva s ohledem na jejich PI patřící podnikům, včetně práva na opt-out z prodeje PI, právo vědět, PI které byly shromážděny o nich, právo na přenositelnost údajů, právo požádat o výmaz osobních údajů, a právo na nediskriminaci za to, že uplatnil svá práva podle zákona. Kromě mnoha požadavky o tom, jak spotřebitelé musí být vědomi těchto práv prostřednictvím ochrany osobních údajů oznámení, společnosti také čelit výzvě, vytváření obchodních procesů v souladu s těmito požadavky, kdy je obdrží.

tyto výzvy jsou obzvláště akutní pro podniky, jako jsou provozovatelé dronů,kteří nezpracovávají typ informací, které CCPA považuje za PI. Výrazně, Kalifornie Generální Prokurátor je poslední návrh nařízení o CCPA objasnil, že „f obchodní udržuje informace pro spotřebitele, které je de-identifikována, podnikání není povinen poskytnout nebo odstranit informace v reakci na žádost spotřebitele nebo pro re-identifikovat jednotlivé údaje k ověření žádost spotřebitele.“Podniky by se měly vyhnout shromažďování nových osobních údajů, pokud to není nutné pro ověření požadavků zákazníků. To by mohlo podpořit argumenty o dron nebo dozoru nad podniky, které prostě nemohou uspokojit zákazníky‘ právo vědět, nebo právo na smazání žádosti, protože se nelze ověřit totožnost žadatele nebo re-identifikovat jejich záběry bez získání nové PI. Jedná se o otevřený problém, pro který v současné době neexistuje jasná odpověď v rámci CCPA, a není jasné, zda budou ne-rozmazané údaje o obličeji považovány za de-identifikované.

akční položky

generální prokurátor Xavier Becerra řekl: „Budeme se laskavě dívat na ty, které . . . prokázat snahu vyhovět.“To znamená, že i když podniky nejsou přiměřeně schopny uspokojit všechny požadavky spotřebitelů, měly by stále vynaložit veškeré úsilí, aby vyhověly jiným částem zákona.

pro přípravu na implementaci CCPA by měly společnosti dohledu a dronů:

• Aktualizovat své zásady ochrany osobních údajů, vysvětlit jejich procesů, zákaznická práva, náhodné kolekce PI, a další údaje používá v „plain English“
• Revidovat své zásady ochrany osobních údajů nechat zákazníci vědí, že se nemají prodávat PI (když, ve skutečnosti, oni dělají ne)
• Recenze obchodní účely jejich PI kolekce, a zajistit, že jejich politiky zadržování je po dobu ne delší, než je potřeba pro tyto účely
• De-identifikovat tolik dat jako obchodní cíle umožňují, včetně rozmazání obličejů, kdykoli je to možné.To zahrnuje:
  • implementingtechnical záruky, že zakázat re-identifikace spotřebitele, kterého se informace může týkat,
  • realizace business procesy, které výslovně zakazují re-identifikace informací,
  • realizace obchodních procesů, aby se zabránilo neúmyslnému uvolnění de-identifikoval informace, a
  • dělat žádný pokus o re-identifikovat informace.
• Pokud jsou poskytovatelé služeb, hodnocení jejich dohod s jejich firemní zákazníky
• zavedení procesů pro zákazníky, aby místo požadavky a uplatňovat svá práva podle zákona
• Pokud některé požadavky nebo kategorie požadavků, nemůže být splněna, vzhledem k povaze podnikání je sběr dat, určit, jak budou zpracovány. Žádosti nelze jednoduše ignorovat!

Co bude dál?

přechod se nezdá být hladký. Vzhledem k širokému rozsahu zákona a mnoha otázkám, které ponechává nezodpovězené, mnoho podniků si pravděpodobně ani neuvědomuje, že se na ně zákon bude vztahovat. Průzkum propuštěn v listopadu Osterman Research a Egress Software Technologies zjistil, že pouze 48 procent firem uvedlo, že by být v souladu do konce roku 2019. Ale s potenciálními sankcemi až do výše $ 2,500 za porušení nebo $ 7,500 za úmyslné porušení, nepřipravené podniky podstupují velké obchodní riziko. Generální prokurátor Becerra nevydá žádné sankce podle CCPA do 1. července 2020, což společnostem poskytne dalších šest měsíců na přizpůsobení se novým požadavkům. Pokud však během tohoto šestiměsíčního období došlo k závažným porušením, AG si ponechává uvážení “ dosáhnout zpět.“Nabídka společnosti další malý bod útěchy, CCPA opravňuje soukromé právo jednat pouze za porušení zahrnující non-redigován a nešifrované PI Kalifornie spotřebitele, ne pro jiné CCPA porušení.

mnoho podniků uvádí četné šedé oblasti a nedostatek jasnosti jako hlavní překážku dodržování předpisů. Předpisy vydané Úřadem AG objasnily některé problémy, ale mnoho otázek týkajících se implementace CCPA zůstává nevyřešeno. Kancelář AG je nyní prohlížení připomínek veřejnosti, které obdržela na svůj návrh nařízení, ale zdá se pravděpodobné, že nezodpovězené otázky v zákoně, které budou řešeny prostřednictvím donucovacích opatření, soudní spory, nebo možná, legislativní upřesnění, no poté, co zákon nabude účinnosti. To znamená, že podniky budou muset najít přímou viditelnost a letět vpřed mlhou.

následující zástupci Mintz, Levin, Cohn, Ferris, Glovsky a Popeo, P. C. autorem tohoto článku.

Cynthia Městečka je Předseda Mintz Soukromí & Cybersecurity Praxi Ověřené Informace, Soukromí Profesionální-USA (CIPP-USA), a Ověřené Informace Soukromí Professional-Evropa (CIPP-E). Pracuje s klienty v různých průmyslových odvětvích rozvíjet komplexní informace bezpečnostní programy na přední straně, a poskytuje včasné radu, když to bude nutné reagovat na narušení bezpečnosti údajů.

Laura Stefani radí klientům, kteří se snaží přinést nové bezdrátové technologie na trhu v regulačních otázkách. Mezi její oblasti zaměření patří nelicencované a licencované bezdrátové technologie, bezpilotní letadla, satelit,zdravotnická zařízení, a Internet věcí.

Jonathan Markman se zaměřuje na bezdrátové a vznikající technologie, se zvláštním důrazem na UAS (běžně známé jako drony) a bezdrátové spektrum. Má zkušenosti s postupy FCC a FAA a vytvářením pravidel, formální a neformální stížnosti, a vyšetřování FCC, stejně jako podávání a stíhání žádostí u FCC a FAA.

Elana Safner (CIPP-USA) radí klientům na veřejnou politiku, regulatorní otázky a spory, které ovlivňují TechComm sektoru, stejně jako ochrany osobních údajů a kybernetické bezpečnosti záleží. Má také zkušenosti s postupy FCC a vytvářením pravidel.