DRONELIFE EXCLUSIVE: egy új kaliforniai adatvédelmi törvény mindent megváltoztathat a Drónüzemeltetők számára az Egyesült Államokban

az új kaliforniai adatvédelmi törvény mindent megváltoztathat az állam drónüzemeltetői számára – és modellként használható az egész országban.

az alábbi vendég hozzászólás Ügyvédi Iroda Mintz, Levin, Cohn, Ferris, Glovsky és Popeo, P. C. Ez a darab szerzője Cynthia Larose, Laura Stefani, Jonathan Markman, és Elana R. Safner.

a Drónkezelők új kihívással néznek szembe: A CCPA

2020 van, és a kristálygömb nem az egyetlen dolog, ami leesett. Január 1.új évet, új évtizedet és a 2018-as Kaliforniai fogyasztói adatvédelmi törvény (“CCPA”) végrehajtását nyitotta meg. Míg a hagyományosabb személyes adatok gyűjtői és feldolgozói (“PI”) a CCPA bevezetésének dátumára készülnek, sok más vállalat, amely csak mellékesen gyűjti a PI-t, az ország legszélesebb körű adatvédelmi törvényének kiterjedt hatálya alá eshet.

hol hagyja ez az olyan vállalatokat, mint a drónüzemeltetők, amelyek csak mellékesen hoznak létre és tárolnak kamerafelvételeket olyan személyes adatokkal, mint az arcképek az üzleti céljuk végrehajtása során? Mi történik, ha az ilyen vállalatok soha nem tesznek erőfeszítéseket a személyes adatok azonosítására? Amint ez a cikk kifejti, az ilyen vállalatok nem mentesülnek teljes mértékben a CCPA betartása alól, és gondosan mérlegelniük kell üzleti gyakorlatukat és a megfelelés következő lépéseit.

Ez a probléma azért merül fel, mert a CCPA nagyon tágan határozza meg a “személyes adatokat”, míg a meghatározás alóli kivételek – például a nyilvánosan elérhető információk és az azonosítatlan információk-meglehetősen szűken vannak meghatározva. A kaliforniai törvényhozás ezen szándékos döntései teszik a CCPA-t az Egyesült Államok eddigi legszélesebb körű adatvédelmi törvényévé. Kötelezettségeket rónak olyan meghatározott vállalkozásokra és szolgáltatókra is, amelyek olyan üzleti gyakorlatokat folytatnak – mint például az arcképek véletlen gyűjtése–, amelyeket az Egyesült Államok más adatvédelmi törvényei általában nem érintettek. Ez a cikk meghatározza a megfontolandó kérdéseket és egy sor cselekvési elemet az ilyen vállalkozások számára a CCPA-megfelelés érdekében.

miért kell aggódni a drón üzemeltetők?

a CCPA váratlanul széles adattartományra vonatkozik. A CCPA-val kapcsolatos tévhit az, hogy csak a fogyasztóktól származó személyes adatok közvetlen gyűjtésére vonatkozik olyan módszerekkel, mint az online vásárlások, keresési előzmények, sütik és egyéb viselkedési preferenciák. A valóságban a CCPA PI meghatározása sokkal szélesebb hálót vet fel. Ez vonatkozik a PI gyűjtött és offline.

a CCPA értelmében a “személyes adatok” olyan információk, amelyek azonosítanak, kapcsolódnak, leírnak, ésszerűen összekapcsolhatók vagy ésszerűen összekapcsolhatók, közvetlenül vagy közvetve, egy adott fogyasztóval vagy háztartással.”Ez magában foglalja többek között a biometrikus információkat, például a drónok által rögzített arcokat, a megfigyelő kamerákat és más videofelvételeket. A” személyes adatok ” kifejezetten kizárják a nyilvánosan elérhető információkat. Ésszerűen azt gondolhatnánk, hogy egy személy szabadban vagy közterületen való jelenléte és arckifejezése nyilvánosan hozzáférhetőnek tekinthető. A CCPA azonban más álláspontot képvisel. “Az” ublicly available ” nem jelenti azt, hogy egy vállalkozás biometrikus információkat gyűjt a fogyasztóról a fogyasztó tudta nélkül.”Ez azt jelenti, hogy a fényképek és a videók – valamint a hang–, hő -, szaglási és egyéb adatok-a személyes adatok meghatározása alá tartoznak. Fontos, hogy a videó által összegyűjtött PI-t a vállalkozásnak nem kell ténylegesen összekapcsolnia a fogyasztóval, csak ésszerűen képes “közvetlenül vagy közvetve”összekapcsolni.

de nem azonosítjuk az adatokat!

ezeknek a kifejezéseknek a meghatározása sok kérdést vet fel azzal kapcsolatban, hogy a CCPA-t hogyan alkalmazzák bizonyos összefüggésekben. Bár a nyilvánosan elérhető információk mentesülnek a személyes adatok meghatározása alól, úgy látjuk, hogy ez nem feltétlenül mentesíti a drónüzemeltetőket a CCPA-megfelelés alól, amint azt fentebb leírtuk. A CCPA mentesíti az azonosítatlan információkat is. Ez biztosan megmenti a dróncégeket és az esetleges videofelvételek más gyűjtőit a CCPA kötelezettségeitől? Az ilyen vállalatok nem, végül, összekapcsolják az általuk összegyűjtött arcokat a tényleges emberekkel, sokkal kevésbé próbálnak bármilyen viselkedési profilt felépíteni ezen információk alapján.

a kaliforniai törvényhozás fontolóra vett – és nem fogadott el-egy módosítást (AB-873), amely megoldotta volna ezt a kérdést. Ennek oka valószínűleg az, hogy a CCPA-nak részben az volt a célja, hogy kezelje annak kockázatát, hogy bár a PI-t gyűjtő vállalkozás nem törekszik annak azonosítására, a PI-t egy külső adatkészlet segítségével meg lehet sérteni és újra azonosítani lehet. Az AB-873 olyan vállalkozások működési aggályaival foglalkozott volna, mint a dróncégek, amelyek mellékesen gyűjtik a PI-t, nem pedig szándékosan a szokásos üzletmenet során. Az azonosítatlan információ nem minősül személyes adatnak a CCPA értelmében, és az AB-873 kiterjesztette volna az “azonosítatlan” fogalmát minden olyan információra, amely “nem azonosítja és ésszerűen nem kapcsolható össze” a fogyasztóval. A jogalkotó végül szűkítette a “személyes adatok” meghatározását, hogy csak olyan információkat tartalmazzon, amelyek “ésszerűen” összekapcsolhatók egy fogyasztóval vagy háztartással, ami optimizmusra ad okot a dróncégeknek és a hasonló helyzetben lévőknek. Lehet, hogy azzal érvelnek, hogy azok a lépések, amelyeket nekik vagy más vállalatoknak meg kell tenniük az információk tényleges összekapcsolása érdekében, nem ésszerűek. Nem világos, azonban, a törvényt értelmező bíróságok “ésszerűnek” tartják.”Lehetséges, hogy a végrehajtási intézkedésekre kell támaszkodnunk az “ésszerűség” hatókörének értelmezéséhez.”A robusztus arcfelismerő adatbázisokkal, amelyek ma már széles körben elérhetők, mindkét módon érvelni lehet.

a CCPA sok más kérdést vet fel. Például, a törvényesen engedélyezett magasságban repülő drón képes-e ésszerűen azonosítható felvételeket készíteni az arcokról? Számít-e, ha a videót nagyítani kell, hogy az arcok ésszerűen összekapcsolhatók legyenek az egyénekkel? Rendelkezik – e a fogyasztó “tudással” a felvételek vagy biometrikus információk gyűjtéséről – ezáltal az információkat “nyilvánosan hozzáférhetővé” teszi a CCPA-n kívül -, ha egy vállalat olyan jeleket tesz közzé, amelyek szerint a videofelvételeket és/vagy a megfigyelést egy adott területen gyűjtik? Ha igen, hány jelet és hol kell elhelyezni a tudás betudásához?

akkor mi van?

a CCPA különböző jogokat biztosít a fogyasztóknak a vállalkozások birtokában lévő PI-vel kapcsolatban, beleértve a PI értékesítésének letiltásának jogát, a róluk gyűjtött PI megismerésének jogát, az adathordozhatósághoz való jogot, a személyes adatok törlésének kérésének jogát, valamint a törvény szerinti jogaik gyakorlásának jogát. Amellett, hogy számos követelmény van arra vonatkozóan, hogy a fogyasztókat hogyan kell tájékoztatni ezekről a jogokról az Adatvédelmi közlemények révén, a vállalatok azzal a kihívással is szembesülnek, hogy üzleti folyamatokat hozzanak létre, amelyek megfelelnek ezeknek a kéréseknek, amikor megkapják őket.

Ezek a kihívások különösen súlyosak az olyan vállalkozások számára, mint például a drónüzemeltetők, akik nem dolgozzák fel azokat az információkat, amelyeket a CCPA elsősorban a PI-nek tekint. Jelentősen, a kaliforniai főügyész nemrégiben a CCPA-ról szóló rendelettervezete tisztázta ,hogy ” f a vállalkozás olyan fogyasztói információkat tart fenn, amelyeket nem azonosítanak, a vállalkozás nem köteles ezeket az információkat megadni vagy törölni a fogyasztói kérésre válaszul, vagy az egyes adatok újbóli azonosítására a fogyasztói kérelem ellenőrzése érdekében.”A vállalkozásoknak kerülniük kell az új személyes adatok gyűjtését, kivéve, ha ez az ügyfelek kéréseinek ellenőrzéséhez szükséges. Ez alátámaszthatja a drónos vagy megfigyelő vállalkozások érveit, miszerint egyszerűen nem tudják kielégíteni az ügyfelek azon jogát, hogy megismerjék vagy töröljék a kérelmeket, mert nem tudják ellenőrizni a kérelmező személyazonosságát vagy újra azonosítani a felvételeket új PI megszerzése nélkül. Ez egy nyitott kérdés, amelyre jelenleg nincs egyértelmű válasz a CCPA alapján, és nem világos, hogy az elmosódott arcadatokat azonosítatlannak fogják-e tekinteni.

cselekvési tételek

némi betekintést nyújt a kaliforniai törvény tervezett végrehajtásába, Xavier Becerra főügyész azt mondta: “kedvesen fogunk nézni azokra, akik . . . mutassa be a megfelelés érdekében tett erőfeszítéseket.”Ez azt jelenti, hogy még akkor is, ha a vállalkozások ésszerűen nem képesek kielégíteni az összes fogyasztói igényt, továbbra is mindent meg kell tenniük a törvény más részeinek betartása érdekében.

a CCPA bevezetésére való felkészüléshez a megfigyelésnek és a dróncégeknek:

• frissítsék adatvédelmi irányelveiket, hogy elmagyarázzák folyamataikat, ügyféljogaikat, a PI véletlenszerű gyűjtését és az egyéb adatfelhasználásokat “egyszerű angol nyelven”
• adatvédelmi irányelveik felülvizsgálata annak érdekében, hogy az ügyfelek tudják, hogy nem értékesítik a PI-t (ha valójában nem)
• tekintse át a PI-gyűjtemény üzleti céljait, és biztosítsa, hogy megőrzési politikájuk legfeljebb az e célokhoz szükséges időtartamra szól
• azonosítson annyi adatot, amennyit az üzleti célok megengednek, beleértve az arcok elmosódását, amikor csak lehetséges.Ez magában foglalja:
  • olyan technikai biztosítékok végrehajtása, amelyek tiltják annak a fogyasztónak az újbóli azonosítását, akire az információ vonatkozhat,
  • olyan üzleti folyamatok végrehajtása, amelyek kifejezetten tiltják az információk újbóli azonosítását,
  • üzleti folyamatok végrehajtása az azonosítatlan információk véletlen kiadásának megakadályozása érdekében, és
  • nem tesz kísérletet az információk újbóli azonosítására.
• ha szolgáltatók, tekintse át az üzleti ügyfeleikkel kötött megállapodásaikat
• végrehajtási folyamatok az ügyfelek számára a kérések elhelyezésére és a törvény szerinti jogaik gyakorlására
• ha bizonyos kéréseket vagy kérések kategóriáit a vállalkozás adatgyűjtésének jellege miatt nem lehet kielégíteni, határozza meg, hogyan fogják kezelni azokat. A kéréseket nem lehet egyszerűen figyelmen kívül hagyni!

mi a következő lépés?

az átmenet valószínűleg nem lesz zökkenőmentes. A törvény széles köre és a megválaszolatlan sok kérdés miatt sok vállalkozás valószínűleg nem is veszi észre, hogy a törvény vonatkozik rájuk. Az Osterman Research és az Egress Software Technologies által novemberben közzétett felmérés szerint a vállalatok mindössze 48 százaléka mondta, hogy 2019 végéig megfelel. De a potenciális büntetések akár $2,500 per szabálysértésvagy $7,500 per szándékos megsértése, felkészületlen vállalkozások vesz egy nagy üzleti kockázatot. Becerra főügyész 1. július 2020-ig nem bocsát ki szankciókat a CCPA alapján, további hat hónapot adva a vállalatoknak az új követelményekhez való alkalmazkodásra. De ha ebben a hat hónapos időszakban jelentős jogsértések történtek, az AG fenntartja a mérlegelési jogkörét, hogy “visszatérjen.”A vállalatoknak egy másik kis vigaszt kínálva a CCPA csak a kaliforniai fogyasztók nem szerkesztett és titkosítatlan PI-jével kapcsolatos jogsértések esetén engedélyezi a magánjogi cselekvési jogot, más CCPA-jogsértések esetén nem.

sok vállalkozás a számos szürke területet és az egyértelműség hiányát említi a megfelelés fő akadályaként. A tanácsadó csoport Hivatala által kiadott rendeletek tisztáztak néhány kérdést, de a CCPA végrehajtásával kapcsolatos számos kérdés továbbra is megoldatlan. Az AG irodája most felülvizsgálja a rendelettervezetekkel kapcsolatos nyilvános észrevételeket, de valószínűnek tűnik, hogy a törvényben megválaszolatlan kérdéseket végrehajtási intézkedések, peres eljárások vagy esetleg jogalkotási pontosítások útján oldják meg jóval a törvény hatálybalépése után. Ez azt jelenti, hogy a vállalkozásoknak látóvonalat kell találniuk, és előre kell repülniük a ködön keresztül.

Mintz, Levin, Cohn, Ferris, Glovsky és Popeo, P. C. következő képviselői írták ezt a cikket.

Cynthia Larose elnöke Mintz Adatvédelmi & kiberbiztonsági gyakorlat, a Certified Information Privacy Professional-US (CIPP-US), és a Certified Information Privacy Professional-Europe (CIPP-e). Különböző iparágakban dolgozó ügyfelekkel dolgozik, hogy átfogó információbiztonsági programokat dolgozzon ki a kezelőfelületen, és időben tanácsot ad, amikor szükségessé válik az adatok megsértése.

Laura Stefani tanácsot ad azoknak az ügyfeleknek, akik új vezeték nélküli technológiákat kívánnak piacra dobni szabályozási kérdésekben. Fókuszpontjai közé tartoznak az engedély nélküli és engedélyezett vezeték nélküli technológiák, a pilóta nélküli repülőgépek, a műholdak, az orvostechnikai eszközök és a tárgyak internete.

Jonathan Markman a vezeték nélküli és a feltörekvő technológiákra összpontosít, különös hangsúlyt fektetve az UAS-ra (közismert nevén drónokra) és a vezeték nélküli spektrumra. Tapasztalattal rendelkezik az FCC és az FAA eljárásaival és szabályalkotásaival, a hivatalos és informális panaszokkal, valamint az FCC vizsgálataival, valamint az FCC és az FAA iránti kérelmek benyújtásával és üldözésével kapcsolatban.

az Elana Safner (CIPP-US) tanácsot ad az ügyfeleknek a TechComm szektort érintő közpolitikai, szabályozási kérdésekben és vitákban, valamint adatvédelmi és kiberbiztonsági kérdésekben. Van tapasztalata az FCC eljárásokkal és szabályalkotásokkal kapcsolatban is.