DRONELIFE eksklusiv: en ny Californisk Privatlivslov kunne ændre alt for droneoperatører i USA

en ny californisk privatlivslov kunne ændre alt for droneoperatører i staten – og kunne bruges som model over hele landet.

følgende er et gæstepost af advokater fra advokatfirmaet Levin, Cohn, Ferris, Glovsky og Popeo, P. C. Dette stykke blev skrevet af Cynthia Larose, Laura Stefani, Jonathan Markman og Elana R. Safner.

droneoperatører står over for en ny udfordring: CCPA

det er 2020, og krystalkuglen er ikke det eneste, der faldt. 1. januar indvarslede et nyt år, et nyt årti og implementering af California Consumer Privacy Act of 2018 (“CCPA”). Mens virksomheder, der er mere traditionelle samlere og processorer af personlige oplysninger (“PI”) har forberedt sig på CCPA ‘ s implementeringsdato, kan mange andre virksomheder, der kun indsamler PI tilfældigt, finde sig fanget af det ekspansive omfang af landets mest vidtrækkende databeskyttelseslovgivning.

hvor efterlader dette virksomheder som droneoperatører, der kun tilfældigt opretter og gemmer kameraoptagelser med sådanne personlige oplysninger som billeder af ansigter i løbet af udførelsen af deres forretningsformål? Hvad hvis sådanne virksomheder aldrig gør noget for at identificere disse personlige oplysninger? Som denne artikel vil forklare, er sådanne virksomheder ikke helt undskyldt for overholdelse af CCPA og skal nøje overveje deres forretningspraksis og de næste skridt for at komme i overensstemmelse.

dette problem opstår, fordi CCPA definerer “personlige oplysninger” meget bredt, mens undtagelser fra definitionen – såsom offentligt tilgængelig information og de-identificerede oplysninger – defineres ret snævert. Disse bevidste valg fra Californiens lovgiver gør CCPA til den mest ekspansive amerikanske privatlivslovgivning til dato. De overdrager også forpligtelser til definerede virksomheder og tjenesteudbydere, der engagerer sig i forretningspraksis – såsom utilsigtet indsamling af billeder af ansigter – der generelt var uberørt af andre Privatlivslove i USA. Denne artikel beskriver spørgsmål, der skal overvejes, og et sæt handlingspunkter, som sådanne virksomheder kan arbejde hen imod CCPA-overholdelse.

hvorfor skal droneoperatører være bekymrede?

CCPA gælder for en uventet bred vifte af data. En misforståelse om CCPA er, at den kun gælder i forbindelse med direkte indsamling af personlige oplysninger fra forbrugere gennem metoder som onlinekøb, søgehistorik, cookies og andre adfærdsmæssige præferencer. I virkeligheden kaster CCPA ‘ s definition af PI et meget bredere net. Det gælder også for PI indsamlet på og offline.

under CCPA defineres “personlige oplysninger” som “oplysninger, der identificerer, relaterer til, beskriver, med rimelighed kan knyttes til eller med rimelighed kan knyttes direkte eller indirekte til en bestemt forbruger eller husstand.”Dette inkluderer blandt andet biometriske oplysninger såsom ansigter fanget af droner, overvågningskameraer og andre midler til videooptagelse. “Personlige oplysninger” udelukker specifikt offentligt tilgængelige oplysninger. Man kan med rimelighed tro, at tilstedeværelsen og visage af en person udendørs eller på offentlig ejendom kan betragtes som offentligt tilgængelig. CCPA tager imidlertid en anden holdning. “Ublic tilgængelig” betyder ikke biometriske oplysninger indsamlet af en virksomhed om en forbruger uden forbrugerens viden.”Dette betyder, at fotos og video – og også lyd, termisk, olfaktorisk og andre data – falder ind under definitionen af personlige oplysninger. Det er vigtigt, at den PI, der indsamles via video, ikke rent faktisk skal knyttes af virksomheden til forbrugeren, kun med rimelighed i stand til at blive knyttet “direkte eller indirekte”.

men vi identificerer ikke dataene!

definitionerne af disse udtryk rejser mange spørgsmål om, hvordan CCPA vil blive anvendt i visse sammenhænge. Selvom offentligt tilgængelige oplysninger er undtaget fra definitionen af personlige oplysninger, ser vi, at dette ikke nødvendigvis sparer droneoperatører fra CCPA-overholdelse, som beskrevet ovenfor. CCPA fritager også de-identificerede oplysninger. Dette vil helt sikkert spare dronefirmaer og andre samlere af tilfældige videooptagelser fra CCPA-forpligtelser? Sådanne virksomheder forbinder trods alt ikke de Ansigter, de har samlet til faktiske mennesker, langt mindre forsøg på at opbygge nogen form for adfærdsprofil baseret på disse oplysninger.den californiske lovgiver overvejede – og vedtog ikke-et ændringsforslag (AB-873), der ville have løst dette problem. Det skyldes sandsynligvis, at CCPA til dels var beregnet til at imødegå risikoen for, at selv om den virksomhed, der indsamler PI, ikke søger at identificere den, kan PI overtrædes og identificeres igen ved hjælp af et eksternt datasæt. AB – 873 ville have taget fat på de operationelle bekymringer hos virksomheder som dronevirksomheder, der indsamler PI i øvrigt, snarere end med vilje i løbet af det normale forretningsforløb. De-identificerede oplysninger betragtes ikke som personlige oplysninger i henhold til CCPA, og AB-873 ville have udvidet definitionen af “de-identificeret” til at omfatte alle oplysninger, der “ikke identificerer og ikke med rimelighed kan knyttes” til en forbruger. Lovgiveren indsnævrede til sidst definitionen af “personlige oplysninger” til kun at omfatte oplysninger “med rimelighed”, der kan forbindes med en forbruger eller husstand, hvilket giver dronevirksomheder og dem, der ligeledes ligger, grund til optimisme. De kan muligvis argumentere for, at de skridt, de eller andre virksomheder skal tage for faktisk at forbinde deres oplysninger, ikke er rimelige. Det er uklart, imidlertid, hvilke domstole, der fortolker loven, vil betragte som “rimelige.”Det er muligt, at vi bliver nødt til at stole på håndhævelsesforanstaltninger for at fortolke omfanget af” rimelighed.”Med robuste ansigtsgenkendelsesdatabaser, der nu er bredt tilgængelige, kunne der argumenteres på begge måder.

CCPA rejser mange andre spørgsmål. Kan en drone, der flyver i den lovligt tilladte højde, faktisk fange rimeligt identificerbare optagelser af ansigter? Tæller det, om videoen skal ses for at gøre ansigterne rimeligt linkbare til enkeltpersoner? Har en forbruger ” kendskab “til indsamlingen af optagelser eller biometriske oplysninger – og derved gør oplysningerne” offentligt tilgængelige ” og uden for CCPA – hvis en virksomhed lægger tegn på, at videooptagelser og/eller overvågning indsamles i et område? Hvis ja, hvor mange tegn og hvor skal de bogføres for at tilregne viden?

hvad så? CCPA giver forbrugerne forskellige rettigheder med hensyn til deres PI, der ejes af virksomheder, herunder en ret til at fravælge salg af PI, en ret til at kende den PI, der er indsamlet om dem, en ret til dataportabilitet, en ret til at anmode om sletning af personlige oplysninger og en ret til ikke-forskelsbehandling for at have udøvet deres rettigheder i henhold til loven. Ud over adskillige krav til, hvordan forbrugere skal gøres opmærksomme på disse rettigheder gennem meddelelser om beskyttelse af personlige oplysninger, vil virksomheder også stå over for udfordringen med at oprette forretningsprocesser for at imødekomme disse anmodninger, når de modtager dem.

disse udfordringer er særligt akutte for virksomheder som droneoperatører, der ikke behandler den type information, som CCPA betragter som PI i første omgang. Væsentligt, Californiens Justitsadvokats nylige udkast til forordninger om CCPA præciserede, at “f en virksomhed opretholder forbrugeroplysninger, der er de-identificeret, en virksomhed er ikke forpligtet til at give eller slette disse oplysninger som svar på en forbrugeranmodning eller til at identificere individuelle data for at verificere en forbrugeranmodning.”Virksomheder bør undgå at indsamle nye personlige oplysninger, medmindre det er nødvendigt for verifikation af kundeanmodninger. Dette kunne understøtte argumenter fra drone-eller overvågningsvirksomheder om, at de simpelthen ikke kan tilfredsstille kundernes ret til at kende eller ret til at slette anmodninger, fordi de ikke kan verificere anmoderens identitet eller identificere deres optagelser igen uden at få ny PI. Dette er et åbent problem, som der i øjeblikket ikke er noget klart svar under CCPA, og det er uklart, om ikke-slørede ansigtsdata vil blive betragtet som de-identificeret.

Action Items

giver et indblik i Californiens planlagte håndhævelse af loven, sagde Attorney General kavier Becerra “vi vil se venligt på dem, der . . . demonstrere en indsats for at overholde.”Det betyder, at selvom virksomheder ikke med rimelighed er i stand til at imødekomme alle forbrugeranmodninger, skal de stadig gøre alt for at overholde andre dele af loven.

for at forberede CCPA-implementering bør overvågnings-og dronevirksomheder:

• Opdater deres privatlivspolitikker for at forklare deres processer, kunderettigheder, tilfældig indsamling af PI og andre dataanvendelser på”almindeligt engelsk”
• Revider deres privatlivspolitikker for at fortælle kunderne, at de ikke sælger PI (hvis de faktisk ikke gør det)
• gennemgå de forretningsmæssige formål med deres PI-indsamling og sikre, at deres opbevaringspolitik ikke er længere end nødvendigt til disse formål
• Identificer så mange data, som forretningsmål tillader, herunder sløring af ansigter, når muligt.Dette omfatter:
  • implementering af tekniske sikkerhedsforanstaltninger, der forbyder genidentifikation af den forbruger, som oplysningerne kan vedrøre,
  • implementering af forretningsprocesser, der specifikt forbyder genidentifikation af oplysningerne,
  • implementering af forretningsprocesser for at forhindre utilsigtet frigivelse af de-identificerede oplysninger, og
  • ikke forsøger at genidentificere oplysningerne.
• hvis de er tjenesteudbydere, gennemgå deres aftaler med deres erhvervskunder
• implementere processer for kunder til at placere anmodninger og udøve deres rettigheder i henhold til loven
• hvis visse anmodninger eller kategorier af anmodninger ikke kan opfyldes på grund af arten af virksomhedens dataindsamling, skal du bestemme, hvordan disse vil blive håndteret. Anmodninger kan ikke blot ignoreres!

Hvad er det næste?

overgangen synes ikke at være glat. På grund af lovens brede anvendelsesområde og de mange spørgsmål, det efterlader ubesvaret, er mange virksomheder sandsynligvis ikke engang klar over, at loven vil gælde for dem. En undersøgelse, der blev offentliggjort i November af Osterman Research and Egress Technologies, viste, at kun 48 procent af virksomhederne sagde, at de ville være kompatible inden udgangen af 2019. Men med potentielle sanktioner på op til $2.500 pr.overtrædelse eller $7.500 pr. forsætlig overtrædelse tager uforberedte virksomheder en stor forretningsrisiko. Attorney General Becerra vil ikke udstede nogen sanktioner i henhold til CCPA indtil 1. juli 2020, hvilket giver virksomhederne yderligere seks måneder til at tilpasse sig de nye krav. Men hvis der opstod betydelige overtrædelser i løbet af den seks måneders periode, AG bevarer skønsbeføjelsen til at “nå tilbage.”CCPA tilbyder virksomheder et andet lille trøstepunkt og tillader kun en privat ret til handling for overtrædelser, der involverer den ikke-redigerede og ukrypterede pi fra Californiens forbrugere, ikke for andre CCPA-overtrædelser.

mange virksomheder nævner de mange grå områder og manglende klarhed som en stor hindring for overholdelse. De regler, der blev frigivet af AG ‘ s kontor, afklarede nogle problemer, men mange spørgsmål vedrørende CCPA-implementering forbliver uløste. AG ‘ s kontor gennemgår nu de offentlige kommentarer, det modtog om sine udkast til forordninger, men det forekommer sandsynligt, at de ubesvarede spørgsmål i loven vil blive løst gennem håndhævelsesforanstaltninger, retssager eller muligvis lovgivningsmæssige afklaringer godt efter loven er trådt i kraft. Det betyder, at virksomheder bliver nødt til at finde en synslinje og flyve fremad gennem tågen.

følgende repræsentanter for Mints, Levin, Cohn, Ferris, Glovsky og Popeo, P. C. skrev denne artikel.

Cynthia Larose er formand for Mints Privacy& Cybersecurity Practice, en certificeret Information Privacy Professional-US (CIPP-US) og en certificeret Information Privacy Professional-Europe (CIPP-E). Hun arbejder med klienter i forskellige brancher for at udvikle omfattende informationssikkerhedsprogrammer i frontenden, og giver rettidig rådgivning, når det bliver nødvendigt at reagere på et databrud.

Laura Stefani rådgiver klienter, der søger at bringe nye trådløse teknologier på markedet om lovgivningsmæssige spørgsmål. Hendes fokusområder inkluderer ikke-licenserede og licenserede trådløse teknologier, ubemandede fly, satellit, medicinsk udstyr, og tingenes Internet.

Jonathan Markman fokuserer på trådløse og nye teknologier med særlig vægt på UAS (almindeligvis kendt som droner) og trådløst spektrum. Han har erfaring med FCC og FAA procedurer og rulemakings, formelle og uformelle klager, og FCC undersøgelser, samt indgive og retsforfølge ansøgninger med FCC og FAA.

Elana Safner (CIPP-US) rådgiver klienter om offentlig politik, lovgivningsmæssige spørgsmål og tvister, der påvirker techcomm-sektoren, samt spørgsmål om privatlivets fred og cybersikkerhed. Hun har også erfaring med FCC procedurer og rulemakings.