Ekskluzywny DRONELIFE: nowe kalifornijskie prawo dotyczące prywatności może zmienić wszystko dla operatorów dronów w USA

nowe kalifornijskie prawo dotyczące prywatności może zmienić wszystko dla operatorów dronów w stanie – i może być używane jako model w całym kraju.

poniżej znajduje się post gościnny autorstwa prawników z Kancelarii Prawnej Mintz, Levin, Cohn, Ferris, Glovsky i Popeo, P. C. autorem artykułu jest Cynthia Larose, Laura Stefani, Jonathan Markman i Elana R. Safner.

operatorzy dronów stoją przed nowym wyzwaniem: CCPA

jest rok 2020, a Kryształowa kula nie jest jedyną rzeczą, która spadła. 1 stycznia rozpoczął się nowy rok, nowa dekada i wdrożenie kalifornijskiej ustawy o ochronie prywatności konsumentów z 2018 r. („CCPA”). Podczas gdy firmy, które są bardziej tradycyjnymi kolekcjonerami i przetwarzającymi dane osobowe („PI”) przygotowywały się do daty wdrożenia CCPA, wiele innych firm, które zbierają PI tylko przypadkowo, może znaleźć się w pułapce ekspansywnego zakresu najbardziej dalekosiężnego prawa ochrony danych w kraju.

Gdzie to zostawia firmy takie jak operatorzy dronów, które tylko przypadkowo tworzą i przechowują nagrania z kamer z takimi danymi osobowymi, jak obrazy twarzy w trakcie realizacji swojego celu biznesowego? Co się stanie, jeśli takie firmy nigdy nie podejmą żadnych starań, aby zidentyfikować te dane osobowe? Jak wyjaśni ten artykuł, takie firmy nie są całkowicie zwolnione z przestrzegania CCPA i muszą dokładnie rozważyć swoje praktyki biznesowe i kolejne kroki, aby osiągnąć zgodność.

problem ten powstaje, ponieważ CCPA definiuje „dane osobowe” bardzo szeroko, podczas gdy wyjątki od definicji – takie jak publicznie dostępne informacje i informacje pozbawione identyfikacji-są definiowane dość wąsko. Te świadome wybory przez ustawodawcę Kalifornii sprawiają, że CCPA jest najbardziej ekspansywnym amerykańskim prawem Prywatności do tej pory. Przypisują również obowiązki określonym firmom i dostawcom usług, którzy angażują się w praktyki biznesowe – takie jak niezamierzone gromadzenie obrazów twarzy – które na ogół nie były naruszone przez inne przepisy dotyczące prywatności w Stanach Zjednoczonych. W tym artykule przedstawiono kwestie do rozważenia i zestaw elementów działania dla takich firm do pracy w kierunku zgodności CCPA.

Dlaczego operatorzy dronów powinni się martwić?

CCPA stosuje się do nieoczekiwanie szerokiego zakresu danych. Błędne przekonanie dotyczące CCPA polega na tym, że ma ono zastosowanie tylko w kontekście bezpośredniego zbierania Danych Osobowych od konsumentów za pomocą metod takich jak zakupy online, historie wyszukiwania, pliki cookie i inne preferencje behawioralne. W rzeczywistości definicja PI CCPA rzuca znacznie szerszą sieć. Dotyczy to również PI zbieranych online i offline.

zgodnie z CCPA „dane osobowe” definiuje się jako „informacje, które identyfikują, odnoszą się do, opisują, mogą być w uzasadniony sposób powiązane lub mogą być w uzasadniony sposób powiązane, bezpośrednio lub pośrednio, z konkretnym konsumentem lub gospodarstwem domowym.”Obejmuje to między innymi informacje biometryczne, takie jak twarze zarejestrowane przez drony, kamery monitorujące i inne środki nagrywania wideo. „Dane osobowe” w szczególności nie obejmują publicznie dostępnych informacji. Można racjonalnie sądzić, że obecność i wygląd osoby na zewnątrz lub na własności publicznej można uznać za publicznie dostępne. CCPA zajmuje jednak inne stanowisko. Stwierdza on, „”ublicly dostępne” nie oznacza informacji biometrycznych zebranych przez firmę o konsumencie bez wiedzy konsumenta.”Oznacza to, że zdjęcia i wideo – a także dane audio, termiczne, węchowe i inne – wchodzą w zakres definicji danych osobowych. Co ważne, PI zgromadzone za pomocą wideo nie musi być faktycznie powiązane przez firmę z konsumentem, tylko rozsądnie możliwe do powiązania „bezpośrednio lub pośrednio”.

ale nie identyfikujemy danych!

definicje tych terminów budzą wiele pytań o to, w jaki sposób CCPA będzie stosowana w pewnych kontekstach. Chociaż publicznie dostępne informacje są wyłączone z definicji danych osobowych, widzimy, że niekoniecznie oszczędza to operatorom dronów zgodności z CCPA, jak opisano powyżej. CCPA wyłącza również informacje pozbawione identyfikacji. Z pewnością uratuje to firmy zajmujące się dronami i innych kolekcjonerów przypadkowych materiałów wideo przed zobowiązaniami CCPA? Takie firmy w końcu nie łączą zebranych twarzy z rzeczywistymi ludźmi, a tym bardziej nie próbują budować jakiegokolwiek profilu behawioralnego na podstawie tych informacji.

ustawodawca Kalifornijski rozważył – i nie przyjął – poprawkę (AB-873), która rozwiązałaby ten problem. Jest to prawdopodobne, ponieważ CCPA miała częściowo zaradzić ryzyku, że nawet jeśli firma zbierająca PI nie stara się go zidentyfikować, PI może zostać naruszone i ponownie zidentyfikowane za pomocą zewnętrznego zbioru danych. AB-873 rozwiązałby problemy operacyjne przedsiębiorstw, takich jak firmy dronowe, które zbierają PI przypadkowo, a nie celowo w trakcie normalnej działalności. Informacje pozbawione identyfikacji nie są uważane za dane osobowe zgodnie z CCPA, A AB-873 rozszerzyłby definicję „pozbawionej identyfikacji”, aby obejmowała wszelkie informacje, które” nie identyfikują i nie można ich w racjonalny sposób powiązać ” z konsumentem. Ustawodawca zawęził ostatecznie definicję „danych osobowych”, aby obejmowała jedynie informacje” rozsądnie”, które mogą być powiązane z konsumentem lub gospodarstwem domowym, co daje firmom dronowym i tym, którzy są w podobnej sytuacji, powód do optymizmu. Mogą być w stanie argumentować, że kroki, które muszą podjąć oni lub inne firmy, aby faktycznie powiązać swoje informacje, nie są rozsądne. Nie jest jednak jasne, co sądy interpretujące ustawę uznają za „rozsądne”.”Możliwe, że będziemy musieli polegać na działaniach egzekucyjnych, aby zinterpretować zakres „racjonalności”.”Dzięki szeroko dostępnym bazom danych rozpoznawania twarzy można argumentować w dowolny sposób.

CCPA stawia wiele innych pytań. Na przykład, czy dron lecący na prawnie dozwolonej wysokości może rzeczywiście uchwycić rozsądnie rozpoznawalny materiał twarzy? Czy liczy się, czy film musi być powiększony, aby twarze były rozsądnie powiązane z osobami? Czy Konsument ” posiada wiedzę „o zbieraniu materiału filmowego lub informacji biometrycznych – dzięki czemu informacje te są” publicznie dostępne ” i poza CCPA – jeśli firma publikuje znaki informujące, że materiał wideo i/lub Nadzór Są Gromadzone na danym obszarze? Jeśli tak, to ile znaków i gdzie należy je zamieścić, aby przypisać wiedzę?

i co z tego?

CCPA przyznaje konsumentom różne prawa w odniesieniu do ich PI posiadanych przez firmy, w tym prawo do rezygnacji ze sprzedaży PI, prawo do poznania PI, które zostały zebrane na ich temat, prawo do przenoszenia danych, prawo do żądania usunięcia danych osobowych oraz prawo do niedyskryminacji za skorzystanie z praw przysługujących im na mocy prawa. Oprócz licznych wymagań dotyczących tego, w jaki sposób konsumenci muszą być informowani o tych prawach za pośrednictwem informacji o ochronie prywatności, firmy będą również musiały stawić czoła wyzwaniu tworzenia procesów biznesowych w celu spełnienia tych wniosków po ich otrzymaniu.

wyzwania te są szczególnie dotkliwe dla przedsiębiorstw, takich jak operatorzy dronów, którzy nie przetwarzają informacji, które CCPA uważa za PI w pierwszej kolejności. Co istotne, niedawny projekt przepisów dotyczących CCPA w Kalifornii Prokurator Generalny wyjaśnił, że ” f firma przechowuje informacje o konsumentach, które są de-zidentyfikowane, firma nie jest zobowiązana do dostarczenia lub usunięcia tych informacji w odpowiedzi na żądanie konsumenta lub do ponownej identyfikacji poszczególnych danych w celu weryfikacji żądania konsumenta.”Firmy powinny unikać gromadzenia nowych danych osobowych, chyba że jest to konieczne do weryfikacji żądań klientów. Może to uzasadniać argumenty dronów lub firm monitorujących, że po prostu nie mogą zaspokoić prawa klientów do wiedzy lub prawa do usuwania wniosków, ponieważ nie mogą zweryfikować tożsamości osoby składającej wniosek lub ponownie zidentyfikować swojego materiału bez uzyskania nowego PI. Jest to kwestia otwarta, na którą obecnie nie ma jasnej odpowiedzi w ramach CCPA i nie jest jasne, czy niewyraźne dane dotyczące twarzy zostaną uznane za pozbawione identyfikacji.

Action Items

dając pewien wgląd w planowane egzekwowanie prawa przez Kalifornię, Prokurator Generalny Xavier Becerra powiedział: „przyjrzymy się tym, które . . . zademonstrować wysiłek, by się podporządkować.”Oznacza to, że nawet jeśli przedsiębiorstwa nie są w stanie zaspokoić wszystkich żądań konsumentów, powinny nadal dołożyć wszelkich starań, aby przestrzegać innych części prawa.

aby przygotować się do wdrożenia CCPA, firmy nadzoru i dronów powinny:

• zaktualizuj swoją politykę prywatności, aby wyjaśnić swoje procesy, prawa klientów, przypadkowe gromadzenie PI i inne wykorzystanie danych w „prostym języku”
• Zmień swoją politykę prywatności, aby poinformować klientów, że nie sprzedają PI (jeśli w rzeczywistości nie sprzedają)
• przejrzyj cele biznesowe ich gromadzenia PI i upewnij się, że ich polityka przechowywania jest na okres nie dłuższy niż jest to konieczne do tych celów
• De-zidentyfikować tyle danych, na ile pozwalają cele biznesowe, w tym rozmycie twarzy za każdym razem, gdy możliwe.Obejmuje to:
  • wdrażanie zabezpieczeń technicznych, które zabraniają ponownej identyfikacji konsumenta, którego Informacje mogą dotyczyć,
  • wdrażanie procesów biznesowych, które w szczególności zabraniają ponownej identyfikacji informacji,
  • wdrażanie procesów biznesowych w celu zapobieżenia nieumyślnemu ujawnieniu informacji pozbawionych identyfikacji oraz
  • nie podejmowanie prób ponownego zidentyfikowania informacji.
• Jeśli są dostawcami usług, zapoznaj się z ich umowami z klientami biznesowymi
• wdrażaj procesy składania wniosków przez klientów i wykonywania ich praw zgodnie z prawem
• Jeśli niektóre wnioski lub kategorie wniosków nie mogą być spełnione ze względu na charakter zbierania danych przez firmę, określ, w jaki sposób będą obsługiwane. Żądania nie mogą być po prostu ignorowane!

Co dalej?

Przejście nie wydaje się być płynne. Ze względu na szeroki zakres prawa i wiele pytań pozostawia bez odpowiedzi, wiele firm prawdopodobnie nawet nie zdaje sobie sprawy, że prawo będzie miało do nich zastosowanie. Badanie opublikowane w listopadzie Przez Osterman Research i Egress Software Technologies wykazało, że tylko 48 procent firm stwierdziło, że będą zgodne do końca 2019 roku. Ale z potencjalnymi karami w wysokości do $2,500 za naruszenie lub $7,500 za celowe naruszenie, nieprzygotowane firmy podejmują duże ryzyko biznesowe. Prokurator Generalny Becerra nie wyda żadnych kar na mocy CCPA do 1 lipca 2020 r., dając firmom dodatkowe sześć miesięcy na dostosowanie się do nowych wymogów. Ale jeśli w ciągu tego sześciomiesięcznego okresu doszło do poważnych naruszeń, Agencja zastrzega sobie prawo do ” sięgnięcia wstecz.”Oferując firmom kolejny mały punkt pocieszenia, CCPA upoważnia prywatne prawo do działania tylko w przypadku naruszeń obejmujących niezredagowane i niezaszyfrowane PI konsumentów kalifornijskich, a nie w przypadku innych naruszeń CCPA.

wiele firm wymienia liczne szare obszary i brak jasności jako główną przeszkodę w przestrzeganiu przepisów. Przepisy wydane przez biuro AG wyjaśniły niektóre kwestie, ale wiele pytań dotyczących wdrożenia CCPA pozostaje nierozwiązanych. Biuro AG analizuje obecnie uwagi opinii publicznej dotyczące projektów rozporządzeń, ale wydaje się prawdopodobne, że pytania bez odpowiedzi w prawie zostaną rozwiązane poprzez działania egzekucyjne, spory sądowe lub ewentualnie wyjaśnienia legislacyjne długo po wejściu w życie ustawy. Oznacza to, że firmy będą musiały znaleźć linię wzroku i latać przed siebie przez mgłę.

autorem artykułu jest Mintz, Levin, Cohn, Ferris, Glovsky i Popeo, P. C.

Cynthia Larose jest przewodniczącą praktyki ds. prywatności Mintz & praktyki cyberbezpieczeństwa, Certified Information Privacy Professional-US (CIPP-US) oraz Certified Information Privacy Professional-Europe (CIPP-e). Współpracuje z klientami z różnych branż w celu opracowania kompleksowych programów bezpieczeństwa informacji na front-end i zapewnia terminowe doradztwo, gdy zajdzie potrzeba zareagowania na naruszenie danych.

Laura Stefani doradza klientom chcącym wprowadzić na rynek nowe technologie bezprzewodowe w kwestiach regulacyjnych. Zajmuje się nielicencjonowanymi i licencjonowanymi technologiami bezprzewodowymi, bezzałogowymi samolotami, satelitami, urządzeniami medycznymi i Internetem Rzeczy.

Jonathan Markman koncentruje się na technologiach bezprzewodowych i nowych, ze szczególnym uwzględnieniem UAS (powszechnie znanych jako Drony) i widma bezprzewodowego. Ma doświadczenie w procedurach i formułowaniu przepisów FCC i FAA, formalnych i nieformalnych skargach oraz dochodzeniach FCC, a także w składaniu i ściganiu wniosków w FCC i FAA.

Elana Safner (CIPP-US) doradza klientom w kwestiach związanych z porządkiem publicznym, kwestiami regulacyjnymi i sporami dotyczącymi sektora TechComm, a także w kwestiach związanych z prywatnością i cyberbezpieczeństwem. Ma również doświadczenie w procedurach FCC i formułowaniu przepisów.