DRONELIFE EXCLUSIVE: een nieuwe Californische privacywet kan alles veranderen voor Drone-Operators in de VS

een nieuwe Californische privacywet kan alles veranderen voor drone – operators in de staat-en kan worden gebruikt als een model in het hele land.het volgende is een gastpost van advocaten van Advocatenkantoor Mintz, Levin, Cohn, Ferris, Glovsky en Popeo, P. C. Dit stuk is geschreven door Cynthia Larose, Laura Stefani, Jonathan Markman en Elana R. Safner.

Drone-Operators staan voor een nieuwe uitdaging: De CCPA

het is 2020, en de kristallen bol is niet het enige dat viel. 1 januari luidde een nieuw jaar in, een nieuw decennium, en de implementatie van de California Consumer Privacy Act van 2018 (“CCPA”). Terwijl bedrijven die meer traditionele verzamelaars en verwerkers van persoonlijke informatie (“PI”) zijn de voorbereiding voor de CCPA ‘ s implementatiedatum, veel andere bedrijven die het verzamelen van PI alleen incidenteel kan zich verstrikt raken door de expansieve omvang van de natie de meest verreikende data privacy wet.

wat betekent dit voor bedrijven als drone-operators die slechts incidenteel camerabeelden maken en opslaan met zulke persoonlijke informatie als afbeeldingen van gezichten tijdens het uitvoeren van hun zakelijke doel? Wat als dergelijke bedrijven nooit enige moeite doen om die persoonlijke informatie te identificeren? Zoals in dit artikel zal worden uitgelegd, worden dergelijke ondernemingen niet volledig vrijgesteld van de naleving van de CCPA en moeten zij zorgvuldig hun zakelijke praktijken en volgende stappen overwegen om aan de naleving te voldoen.

dit probleem doet zich voor omdat de CCPA “persoonlijke informatie” zeer ruim definieert, terwijl uitzonderingen op de definitie – zoals algemeen beschikbare informatie en niet-geïdentificeerde informatie – vrij eng worden gedefinieerd. Deze bewuste keuzes door de Californische wetgever maken de CCPA de meest uitgebreide Amerikaanse privacywet tot nu toe. Ze kennen ook verplichtingen toe aan gedefinieerde bedrijven en dienstverleners die zich bezighouden met zakelijke praktijken – zoals het onbedoeld verzamelen van afbeeldingen van gezichten – die over het algemeen niet waren geraakt door andere privacywetten in de Verenigde Staten. Dit artikel beschrijft de te overwegen kwesties en een reeks actiepunten voor dergelijke bedrijven om te werken aan de naleving van de CCPA.

waarom zouden exploitanten van drones betrokken moeten zijn?

De CCPA is van toepassing op een onverwacht breed gegevensbereik. Een misvatting over de CCPA is dat het alleen van toepassing is in de context van het rechtstreeks verzamelen van persoonlijke informatie van consumenten via methoden zoals online aankopen, zoekgeschiedenissen, cookies en andere gedragsvoorkeuren. In werkelijkheid werpt de definitie van PI van de CCPA een veel breder net op. Het is ook van toepassing op PI verzameld op en offline.

in de CCPA wordt “persoonsgegevens” gedefinieerd als “informatie die identificeert, betrekking heeft op, beschrijft, redelijkerwijs in verband kan worden gebracht met of redelijkerwijs direct of indirect kan worden gekoppeld aan een bepaalde consument of huishouden.”Dit omvat onder andere biometrische informatie zoals gezichten die zijn vastgelegd door drones, bewakingscamera’ s en andere middelen voor video-opname. “Persoonlijke informatie” sluit specifiek openbaar beschikbare informatie uit. Men zou redelijkerwijs kunnen denken dat de aanwezigheid en het gezicht van een persoon buitenshuis of op openbaar eigendom kan worden beschouwd als openbaar beschikbaar. De CCPA neemt echter een ander standpunt in. Het stelt, “‘ublicly beschikbaar’ betekent niet biometrische informatie verzameld door een bedrijf over een consument zonder medeweten van de consument.”Dit betekent dat foto’ s en video – en ook audio–, thermische, olfactorische en andere gegevens-vallen onder de definitie van persoonlijke informatie. Belangrijk is dat de PI ‘ s die via video worden verzameld, door de onderneming niet daadwerkelijk aan de consument hoeven te worden gekoppeld, omdat zij redelijkerwijs alleen “direct of indirect”aan elkaar kunnen worden gekoppeld.

maar we identificeren de gegevens niet!

de definities van deze termen roepen veel vragen op over hoe de CCPA in bepaalde contexten zal worden toegepast. Hoewel openbaar beschikbare informatie is vrijgesteld van de definitie van persoonlijke informatie, zien we dat dit drone-exploitanten niet noodzakelijkerwijs behoedt voor CCPA-naleving, zoals hierboven beschreven. De CCPA verleent ook vrijstelling voor niet-geïdentificeerde informatie. Dit zal toch drone-bedrijven en andere verzamelaars van incidentele videobeelden redden van CCPA-verplichtingen? Dergelijke bedrijven niet, immers, koppelen de gezichten die ze hebben verzameld om de werkelijke mensen, veel minder proberen om elke vorm van gedragsprofiel op te bouwen op basis van die informatie.

de Californische wetgever heeft een amendement (AB – 873) dat dit probleem zou hebben opgelost, overwogen en niet goedgekeurd. Dit is waarschijnlijk omdat de CCPA ten dele bedoeld was om het risico aan te pakken dat, hoewel de onderneming die de PI verzamelt niet tracht deze te identificeren, PI kan worden geschonden en opnieuw kan worden geïdentificeerd met behulp van een externe dataset. AB-873 zou de operationele zorgen van bedrijven zoals drone-bedrijven die PI incidenteel verzamelen hebben aangepakt, in plaats van opzettelijk tijdens de normale gang van zaken. Geanonimiseerde informatie wordt niet beschouwd als persoonlijke informatie onder de CCPA, en AB-873 zou de definitie van “geanonimiseerd” hebben uitgebreid met alle informatie die “niet identificeert en niet redelijkerwijs kan worden gekoppeld” aan een consument. De wetgever heeft uiteindelijk beperkt de definitie van” persoonlijke informatie “om alleen informatie” redelijk ” kunnen worden geassocieerd met een consument of huishouden, die drone bedrijven en die op dezelfde manier gelegen reden voor optimisme geeft omvatten. Zij kunnen stellen dat de stappen die zij of andere bedrijven zouden moeten nemen om hun informatie daadwerkelijk te koppelen, niet redelijk zijn. Het is echter onduidelijk welke rechtbanken de interpretatie van de wet als “redelijk” zullen beschouwen.”Het is mogelijk dat we zullen moeten vertrouwen op handhavingsmaatregelen om de reikwijdte van “redelijkheid te interpreteren.”Met robuuste gezichtsherkenning databases nu op grote schaal beschikbaar, een argument kan worden gemaakt beide manier.

De CCPA roept vele andere vragen op. Bijvoorbeeld, kan een drone die op de wettelijk toegestane hoogte vliegt eigenlijk redelijk herkenbare beelden van gezichten vastleggen? Telt het als de video moet worden ingezoomd om de gezichten redelijk te koppelen aan individuen? Heeft een consument “kennis” van het verzamelen van beelden of biometrische informatie – waardoor de informatie “openbaar” wordt gemaakt en buiten de CCPA – als een bedrijf borden plaatst waarop staat dat videobeelden en/of surveillance in een gebied worden verzameld? Zo ja, hoeveel tekens en waar moeten ze worden geplaatst om kennis toe te rekenen?

wat dan nog? de CCPA verleent consumenten verschillende rechten met betrekking tot hun hoofdonderzoeker die in handen is van ondernemingen, waaronder het recht om af te zien van de verkoop van HOOFDONDERNEMER, het recht om te weten welke HOOFDONDERNEMER over hen is verzameld, het recht op gegevensoverdraagbaarheid, het recht om te verzoeken om verwijdering van persoonsgegevens en het recht op non-discriminatie omdat zij hun rechten krachtens de wet hebben uitgeoefend. Naast tal van eisen over hoe consumenten bewust moeten worden gemaakt van deze rechten door middel van privacykennisgevingen, zullen bedrijven ook geconfronteerd worden met de uitdaging om bedrijfsprocessen te creëren om aan deze verzoeken te voldoen wanneer ze deze ontvangen.

deze uitdagingen zijn met name acuut voor bedrijven zoals drone-exploitanten, die niet het soort informatie verwerken dat de CCPA in de eerste plaats als PI beschouwt. Significant, de California Attorney General ’s recente ontwerp-regelgeving over de CCPA verduidelijkt dat” f een bedrijf onderhoudt consumenteninformatie die is gedeïdentificeerd, een bedrijf is niet verplicht om te verstrekken of verwijderen van deze informatie in antwoord op een verzoek van de consument of om opnieuw te identificeren individuele gegevens om een verzoek van de consument te verifiëren.”Bedrijven moeten voorkomen dat het verzamelen van nieuwe persoonlijke informatie, tenzij het nodig is voor de verificatie van verzoeken van klanten. Dit zou argumenten van drone-of bewakingsbedrijven kunnen ondersteunen dat zij eenvoudigweg niet kunnen voldoen aan het recht van klanten om verzoeken te weten of te verwijderen, omdat zij de identiteit van de aanvrager niet kunnen verifiëren of hun beelden niet opnieuw kunnen identificeren zonder nieuwe PI te verkrijgen. Dit is een open kwestie waarvoor er momenteel geen duidelijk antwoord is in het kader van de CCPA, en het is onduidelijk of onscherpe gezichtsgegevens zullen worden beschouwd als niet-geïdentificeerd.

actiepunten

het geven van enig inzicht in Californië ‘ s geplande handhaving van de wet, Procureur-generaal Xavier Becerra zei: “We zullen vriendelijk kijken op degenen die . . . toon een inspanning om te voldoen.”Dat betekent dat zelfs als bedrijven redelijkerwijs niet in staat zijn om aan alle verzoeken van consumenten te voldoen, ze toch alles in het werk moeten stellen om aan andere delen van de wet te voldoen.

ter voorbereiding van de CCPA-implementatie, surveillance en drone-bedrijven moeten:

• hun privacybeleid bijwerken om hun processen, klantenrechten, incidentele verzameling van PI en ander gegevensgebruik uit te leggen in “plain English”
• hun privacybeleid herzien om klanten te laten weten dat ze geen PI verkopen (als ze dat in feite niet doen)
• de zakelijke doeleinden van hun PI-verzameling herzien en ervoor zorgen dat hun bewaarbeleid voor een periode van tijd niet langer is dan nodig voor die doeleinden
• de-identificeer zoveel gegevens als zakelijke doelen toestaan, inclusief vervagende gezichten wanneer mogelijk.Dit omvat:uitvoering van technische waarborgen die de heridentificatie verbieden van de consument waarop de informatie betrekking kan hebben, uitvoering van bedrijfsprocessen die specifiek de heridentificatie van de informatie verbieden, uitvoering van bedrijfsprocessen om onbedoelde vrijgave van niet-geïdentificeerde informatie te voorkomen, en uitvoering van geen poging om de informatie opnieuw te identificeren.

indien zij dienstverleners zijn, hun overeenkomsten met hun zakelijke klanten herzien

implementeer processen voor klanten om verzoeken te plaatsen en hun rechten uit te oefenen onder de wet

indien aan bepaalde verzoeken, of categorieën verzoeken, niet kan worden voldaan vanwege de aard van de gegevensverzameling van het bedrijf, bepaal hoe deze zullen worden behandeld. Verzoeken kunnen niet zomaar genegeerd worden!

wat volgt?

de overgang lijkt niet soepel te verlopen. Vanwege het brede toepassingsgebied van de wet en de vele vragen die het onbeantwoord laat, veel bedrijven waarschijnlijk niet eens beseffen dat de wet op hen van toepassing zal zijn. Een onderzoek uitgebracht in November door Osterman Research en Egress Software Technologies bleek dat slechts 48 procent van de bedrijven zei dat ze zouden voldoen aan het einde van 2019. Maar met mogelijke boetes tot $2.500 per overtreding of $7.500 per opzettelijke overtreding, nemen onvoorbereide bedrijven een groot zakelijk risico. Procureur-generaal Becerra zal geen sancties uit hoofde van de CCPA uit te vaardigen tot 1 juli 2020, waardoor bedrijven een extra zes maanden om zich aan te passen aan de nieuwe eisen. Maar als er tijdens die periode van zes maanden sprake is van aanzienlijke schendingen, behoudt de adviesraad zich het recht voor om “terug te komen.”Het aanbieden van bedrijven een ander klein punt van troost, de CCPA machtigt een particulier recht van actie alleen voor inbreuken met betrekking tot de niet-geredigeerde en niet-versleutelde PI van Californië consumenten, niet voor andere CCPA schendingen.

veel bedrijven noemen de vele grijze gebieden en het gebrek aan duidelijkheid als een belangrijke belemmering voor de naleving. De verordeningen die door het Bureau van de adviesgroep zijn vrijgegeven, verhelderden enkele kwesties, maar veel vragen met betrekking tot de implementatie van de CCPA blijven onopgelost. Het kantoor van de adviesgroep bekijkt nu de reacties van het publiek die zij op haar ontwerpverordeningen heeft ontvangen, maar het lijkt waarschijnlijk dat de onbeantwoorde vragen in de wet zullen worden opgelost door middel van handhavingsmaatregelen, rechtszaken of mogelijk wetgevende verduidelijkingen lang nadat de wet van kracht is geworden. Dat betekent dat bedrijven een zichtlijn moeten vinden en door de mist moeten vliegen.de volgende vertegenwoordigers van Mintz, Levin, Cohn, Ferris, Glovsky en Popeo, P. C. schreven dit artikel.

Cynthia Larose is voorzitter van Mintz ‘ Privacy& Cybersecurity Practice, een Certified Information Privacy Professional-US (CIPP-US), en een Certified Information Privacy Professional-Europe (CIPP-E). Ze werkt samen met klanten in verschillende industrieën om uitgebreide informatiebeveiligingsprogramma ‘ s te ontwikkelen op de front-end, en biedt tijdig advies wanneer het nodig is om te reageren op een datalek.

Laura Stefani adviseert cliënten die nieuwe draadloze technologieën op de markt willen brengen op het gebied van regelgeving. Haar aandachtsgebieden zijn draadloze technologieën zonder licentie, onbemande vliegtuigen, satelliet, medische apparatuur en het Internet of Things.

Jonathan Markman richt zich op draadloze en opkomende technologieën, met een bijzondere nadruk op UAS (algemeen bekend als drones) en draadloos spectrum. Hij heeft ervaring met FCC en FAA procedures en rulemakings, formele en informele klachten, en FCC onderzoeken, evenals het indienen en vervolgen van aanvragen bij de FCC en FAA.

Elana Safner (CIPP-US) adviseert cliënten over overheidsbeleid, regelgevingskwesties en geschillen die van invloed zijn op de techcomm-sector, alsook over privacy en cyberbeveiliging. Ze heeft ook ervaring met FCC procedures en rulemakings.