Det var langt fra bare valget av USAs president innbyggerne i California skulle stemme over i forrige uke. De fikk også si sin mening om en rekke lovforslag, hvor «Proposition 24: Expand Consumer Data Privacy», også kjent som The California Privacy Rights Act of 2020 (CPRA), nok var det mest interessante for oss på den andre siden av dammen.
Det dreier seg om en utvidelse av personvernlovgivningen i California, California Consumer Privacy Act (CCPA). Den ble vedtatt i 2018 og regnes allerede som den strengeste i USA. CPRA skal gjøre CCPA mer nyansert og ekspansiv, samt fjerne enkelte smutthull.
Ingen overveldende støtte
Lovforslaget er omdiskutert, noe valgresultatet også bærer preg av. Bare 56,1 prosent har stemt for forslaget.
Argumentene for forslaget inkluderer at den eksisterende loven ikke har nok tenner til å skape et system for håndhevelse og til i sikre forbrukernes kontroll over egne personopplysninger. Motargumentene er blant annet at loven fra 2018 knapt har blitt tatt i bruk, og at konsekvensene av den ikke er klare ennå.
Det er også de som mener at CPRA ikke går langt nok, og at det hele dreier seg om én manns verk. Hovedpersonen bak lovforslaget er Alastair Mactaggart, en eiendomsutvikler som også var dypt involvert i arbeidet med loven fra 2018.
Datatilsynet: Det haster å gjøre noe med håndteringen av saksmengden
Samtykke og følsomme opplysninger
Sentralt i CPRA er en definisjon av samtykke, som har mye felles med definisjonen i europeiske GDPR (General Data Protection Regulation). Det er også nye regler for en kategori med følsomme personopplysninger og behandlingen av disse. Dette inkluderer slik som ID-numre, innloggingsopplysninger, personen nøyaktige, geografiske posisjon, etniske opprinnelse, livssyn, medlemskap i fagforeninger, genetiske data, helseinformasjon, seksuell legning og innholdet i privatpersoners brev, e-post og tekstmeldinger.
I praksis skal CPRA gi forbrukere større mulighet til å nekte virksomheter å selge eller dele slik informasjon om forbrukerne, uten at de først gir sitt samtykke til dette. Ikke minst strammes reglene inn i forbindelse med opplysninger om barn.
Restriksjoner på sporing
Det skal også bli strengere restriksjoner på sporing på tvers av nettsteder og salg av brukerdata til annonsepartnere. Til Business Insider sier personverneksperter at dette vil blokkere virksomheten til store aktører som Facebook og Google.
– Tredjeparts adtech-bransjen er nødt til å utvikle seg. Ellers risikerer de at forretningsmodellene deres blir utdaterte, sier Heather Federman til Business Insider. Hun er visepresident for personvern og policy i selskapet BigID, et selskap som spesialiseres seg på etterlevelse av personvernregler.
Selv om CPRA bare gjelder i California, er det ventet at den også vil påvirke forbrukere i hele USA, og kanskje også andre steder. Årsaken er at så mange av de store teknologiselskapet har sine hovedkvarter i California, og at delstaten har stor påvirkningskraft på denne bransjen.
Etter planen skal CPRA først tre i kraft i 2023.
Nye EU-regler skal få fart på mobil- og bredbåndutbygging